WO2018131004A2 - Procédés et systèmes pour l'exécution de programmes dans des environnements sécurisés - Google Patents

Procédés et systèmes pour l'exécution de programmes dans des environnements sécurisés Download PDF

Info

Publication number
WO2018131004A2
WO2018131004A2 PCT/IB2018/050247 IB2018050247W WO2018131004A2 WO 2018131004 A2 WO2018131004 A2 WO 2018131004A2 IB 2018050247 W IB2018050247 W IB 2018050247W WO 2018131004 A2 WO2018131004 A2 WO 2018131004A2
Authority
WO
WIPO (PCT)
Prior art keywords
message
node
nodes
enclave
program
Prior art date
Application number
PCT/IB2018/050247
Other languages
English (en)
Other versions
WO2018131004A3 (fr
WO2018131004A9 (fr
Inventor
Enrico Maim
Original Assignee
Enrico Maim
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from PCT/IB2017/050228 external-priority patent/WO2017122187A2/fr
Application filed by Enrico Maim filed Critical Enrico Maim
Priority to US16/477,631 priority Critical patent/US11587070B2/en
Priority to EP18705491.1A priority patent/EP3568794B1/fr
Priority to CN201880016861.5A priority patent/CN110392888A/zh
Publication of WO2018131004A2 publication Critical patent/WO2018131004A2/fr
Publication of WO2018131004A3 publication Critical patent/WO2018131004A3/fr
Publication of WO2018131004A9 publication Critical patent/WO2018131004A9/fr
Priority to US18/170,986 priority patent/US20230206220A1/en

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/51Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/36Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes
    • G06Q20/367Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes
    • G06Q20/3674Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes involving authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/04Payment circuits
    • G06Q20/06Private payment circuits, e.g. involving electronic currency used among participants of a common payment scheme
    • G06Q20/065Private payment circuits, e.g. involving electronic currency used among participants of a common payment scheme using e-cash
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/36Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/36Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes
    • G06Q20/367Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/36Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes
    • G06Q20/367Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes
    • G06Q20/3678Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes e-cash details, e.g. blinded, divisible or detecting double spending
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3823Payment protocols; Details thereof insuring higher security of transaction combining multiple encryption tools for a transaction
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3829Payment protocols; Details thereof insuring higher security of transaction involving key management
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/389Keeping log of transactions for guaranteeing non-repudiation of a transaction
    • GPHYSICS
    • G09EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
    • G09CCIPHERING OR DECIPHERING APPARATUS FOR CRYPTOGRAPHIC OR OTHER PURPOSES INVOLVING THE NEED FOR SECRECY
    • G09C1/00Apparatus or methods whereby a given sequence of signs, e.g. an intelligible text, is transformed into an unintelligible sequence of signs by transposing the signs or groups of signs or by replacing them by others according to a predetermined system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/50Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q2220/00Business processing using cryptography
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/56Financial cryptography, e.g. electronic payment or e-cash

Definitions

  • the present invention relates to methods and systems useful in a network node architecture, generally decentralized, capable of performing transactions against each other on the basis of messages.
  • PGP's decentralized trust model (Web-of-Trust, 1992) is already known to allow peers to act as initiators and validators of public keys and proposing a metric for decentralized validation of a digital identity, which focused on the email addresses of the peers in question, and since then other approaches have been proposed to establish identity without the CA (such as by Carl Ellison in 1996).
  • the invention aims first of all to allow a decentralized identification both simpler and wider use, and directly meeting the needs for implementation of executables commitments, type "smart contracts” [https: / /en.wikipedia.org/wiki/Smart contract], now implemented on consensus protocols, especially in a "permissionless" environment where anyone can join and leave dynamically, and where there is no prior knowledge of consensus nodes, relying generally on computer puzzles [Dwork & Naor, 1992: http://www.hashcash.org/papers/pyp.pdf; Back, 2002: http://www.hashcash.org/papers/hashcash.pdf] to counter the "sybil attacks" and with the assumption that a majority of computing power is held by honest participants [Nakamoto, 2008: https://bitcoin.org/bitcoin.pdf].
  • the state of the art in smart contracts is mainly represented by the Ethereum system
  • New processor architectures such as ARM processors or the latest Intel processors allow the use of trusted execution environments (TEEs), such as SGX enclaves of Intel processors.
  • TEEs trusted execution environments
  • SGX enclaves of Intel processors.
  • Intel's proposed PoET protocol continues to rely on a Blockchain.
  • An aspect of the invention is to allow such secure environments to be used to overcome the Blockchain or make it optional.
  • the invention is more precisely an implementation on hardware that is within the reach of a large number of manufacturers, in order to achieve decentralization even at the level of the manufacturers themselves, and also aims to provide decentralized identification mechanisms that mitigate sybil attacks (when an adversary generates any number of new nodes it controls in the network).
  • Another aspect of the invention is to be able to cooperate with wallet node entities and entities of the secure unit type (TEE), in particular enclaves of SGX types of Intel processors (in the following, the term “enclave” will refer to such an enclave or largely any TEE environment).
  • TEE secure unit type
  • the invention aims not only benefits of speed (the consensus by blockchain is slow) and cost (transaction fees), but even qualitative benefits that are discussed below.
  • the blockchain approach inherently involves a centralized but replicated data structure on a large scale.
  • the real decentralization offered by the invention eliminates the need for "scaling" which is the highest priority challenge for Bitcoin and Ethereum today.
  • a method for the secure execution of programs implemented between a first WN (WN1) and a second WN (WN2), at least the second WN being implemented in an enclave of a processor, and the WNs being able to execute designated programs in messages reaching them, the method comprising the steps of:
  • step b2) also comprises the generation of a nuncio
  • step b3) also comprises sending said nuncio to WN1
  • the method furthermore comprises, before step d) a step implemented at the level of WN1 encryption of the message to be sent with the nonce, and before step e), a step implemented at WN2 decryption of said encrypted message.
  • said pre-message contains a designation of said given program, for the purpose of pre-loading said program by WN2 in a working memory.
  • WN1 is also an enclave of a processor, and in which at each reception of a pre-message or a message by WN2 from WN1, WN2 checks the presence in this pre-message or message of a certificate the authenticity and the integrity of execution of a program executed in WN1 and having caused the sending of this pre-message or message.
  • steps a) and c) a step of generation by WN2 of a pair of public / private keys derived from a secret key of WN2 and the designation of said given program,
  • step d a step of sending the public derived key to WN1,
  • step d a step of encrypting a data portion of said message with said public key in WN1, and
  • step d a decryption step in WN2 of said data portion with the derived private key.
  • said pair of derived keys is also generated from designation information contained in the pre-message.
  • a second aspect there is provided a method for the secure execution of transactional programs implemented between a first WN (WN1) and a second WN (WN2), WN1 and WN2 being each an enclave of a processor or a SoC dedicated, in which the WN are able to communicate by transactional messages containing a designation of the program to be executed in the recipient WN, and a pair of WN exchanging transactional messages by executing both the same program under secure conditions.
  • each node maintaining a list of countersignable nodes of nodes capable of receiving messages from the node in question, each node and its countersigning nodes forming a set of mirror nodes,
  • a transactional system with a distributed architecture in peer-to-peer implementing transactions of transfer of units of account between nodes transmitting units and nodes receiving units, each transaction having as input an input referring to an output of a previous transaction (or several inputs each referring to an output of a previous transaction) and having itself at least one new output specifying a number of units of account and a receiving node, each transaction being able to be validated in response to a broadcast, by inserting, in a block chain stored in a distributed manner between at least some nodes, at least one signature of the transaction, at least some nodes are also able to exchange units of accounts by transactions without mandatory broadcast via payment channels ent re nodes, each node having a channel (Ch (i, j)) with another node having a ceiling (C (i, j)) units of account transferable by this channel without requiring broadcast, and a transfer units of account between two nodes being able to
  • the weight of one node vis-à-vis another is determined based on the existence of real connections (IRL Connections) or quasi-real connections in the two nodes.
  • a fifth aspect proposes a transactional system with a distributed architecture in peer-to-peer, to execute secure transactions involving hardware nodes (SoC, enclave) likely to be manufactured by manufacturers in a decentralized manner, each node having, with respect to another node, a degree of confidence or proximity materialized in particular by a connection weight or by a number of mirror nodes in common between the two nodes,
  • SoC hardware nodes
  • characterized by comprising means for assigning each manufacturer a manufacturer's weight, and for adjusting the degree of trust of a hardware node to another node (not necessarily hardware) as a function of weight manufacturer of this hardware node.
  • the manufacturer's weight is related to the number of hardware nodes manufactured by the manufacturer in question.
  • the manufacturer's weight is related to the number of hardware nodes active in the system and manufactured by the manufacturer in question.
  • the system comprises means for determining the activity of a hardware node as a function of the existence of transactions involving said node.
  • the system comprises means for determining the activity of a hardware node as a function of the existence of interactions with other nodes and connection weight values of the nodes involved in these interactions.
  • a secure processor (SoC; enclave) is proposed, characterized in that it is capable of hosting a plurality of WN nodes of a network, and in that it comprises a cryptographic memory management unit with encryption (CMMU) capable of ensuring a secure execution of programs, in which:
  • CMMU unit In the CMMU unit is stored (or dynamically regenerated) inaccessible otherwise than by the CMMU a secret program encryption key
  • the CMMU is able to memorize at least one program to be executed after encryption by the CMMU unit using said secret key and to generate a hash of the or each program making it possible to retrieve the encrypted program,
  • Said processor is capable of executing programs only on command of the CMMU,
  • the messages comprise the identification of a recipient WN hosted in the processor and the identification of a certain program to be executed by the recipient WN, identified by its hash,
  • the processor initializes as the destination WN and the CMMU (i) accesses the encrypted program to be executed by this WN from the hash of the program received in the message (in particular via a table PHT), (ii) decrypts the program instructions, and (iii) transmits to the processor to execute decrypted instructions on said received data,
  • the processor storing for each hosted WN a pair of keys intended for the signature of message contents generated by said WN using the private key of said pair.
  • At least one hosted WN constitutes a WN countersigning another WN within a group of WN mirrors, the key pair of this WN countersigning being identical to the key pairs of the other WN of said group.
  • the processor is capable of storing processor variables, WN variables and WP variables separately from one another.
  • the processor is associated with a SAM module, and in that the processor variables comprise actuation or sensor data associated with said module, accessible by at least two WNs.
  • a transactional system with a distributed peer-to-peer architecture implementing transactions with cryptographic security of transfer of units of account between unit-sending nodes and unit-receiving nodes, each transaction having as input an input referring to an output of a previous transaction (or several inputs each referring to an output of a previous transaction) and itself having at least one new output specifying a number of units of account and a receiving node, each transaction being able to be validated in response to an insert broadcast, in a chain of blocks stored in a distributed manner between at least some nodes, of at least one signature of the transaction, at least some nodes being also able to exchange units of accounts through transactions without mandatory broadcast, at each node that can be associated with a node.
  • the system comprising means capable, within a tree chain (uptree) of transactions that have not been broadcast, determining whether the trust or proximity information of at least one node, among the nodes (GuardWN) having generated the most upstream transactions in said chain, vis-à-vis the node having received the most transaction downstream in the chain, satisfies a certain criterion and, if so, accept the most downstream transaction.
  • uptree tree chain
  • GuardWN nodes
  • the degree of confidence or proximity information comprises a number of mirror nodes in common between at least one node, among the nodes having generated the most upstream transactions in said chain, and the node having received the most downstream transaction in chain.
  • Each node is intended to sign a transaction as GuardWN only if the outputs of that transaction require its signature in the transactions that the transaction will feed into, so that a GuardWN node that has generated an upstream transaction controls the transactions ( avoid the double spend) which will be fed by the most downstream transaction.
  • each node is intended to sign a transaction as GuardWN only if the outputs of said transaction require its signature in the transactions that said transaction will feed, so that a GuardWN node that has generated an upstream transaction controls (avoids the double spend on) the entire tree chain (dtree) downstream transactions from itself.
  • a system-on-chip which can receive messages for executing programs under secure execution conditions, in which a secret key (SK) constituting the private key of a public key pair is stored.
  • SK secret key
  • WN secure unit (enclave) of a processor
  • a method implemented in a secure unit (enclave) of a processor comprising, when receiving a message originating from either a system-on-chip or of a secure unit of another processor (other enclave), the following execution steps implemented without leaving the enclave:
  • the sending step also includes the sending of a certificate of authenticity and execution integrity of the currently executed program.
  • the method comprises an additional step preceding the sending step and consisting in generating a random key, the sending step comprising sending this random key to said WN or other enclave, and wherein the step of decryption uses said random key.
  • a method implemented in a secure unit (enclave) of a processor comprising, when receiving a message originating either from a system-on-chip or from a secure unit of another processor (other enclave), the following execution steps implemented without leaving the enclave:
  • the method comprises, following the reception of the complementary message and without leaving the enclave, a step of loading and executing a program corresponding to said information contained in the message and taking as input said other decrypted part.
  • the method furthermore comprises, during the execution of the program, the generation of a message intended for a WN or other enclave, comprising said information as well as a certificate of the execution of said program corresponding to said information.
  • a processor comprising a secure unit (enclave) is provided, said enclave comprising:
  • a processor comprising a secure unit (enclave)
  • said enclave comprising:
  • said enclave comprises means, when receiving from a WN or another enclave of a message comprising a given piece of information, to load a first program and execute it in a secure manner, this execution comprising the following steps: a] sending to this WN or other enclave a request comprising:
  • the request sent in step a) further comprises an identifier of said received message.
  • the request sent in step a) is encrypted with the public key of the WN or other enclave.
  • the execution of the program comprises the generation of a message intended for a WN or other enclave comprising said information as well as a certificate of the execution of said program corresponding to said information.
  • the message received from a WN or another enclave furthermore comprises an attestation of the execution by this WN or other enclave of said program corresponding to said information.
  • the message received from the WN or other enclave is received in the encrypted state with the public key of the processor's slot and is decrypted with its secret key.
  • the enclave further comprises means capable, when receiving from another enclave of a request including a certificate attesting the current execution of said first program (WNRoT) and a random key, of generating and returning a message comprising at least one encrypted part (payload) by means of said random key.
  • WNRoT certificate attesting the current execution of said first program
  • a processor comprising a secure unit (enclave)
  • said enclave comprising:
  • said enclave comprises means, when receiving from a WN or another enclave of a message comprising a given piece of information, to load a first program and execute it in a secure manner, this execution comprising the following steps: a] using (generating or retrieving in memory) a pair of keys derived from the main secret key and said given information received,
  • the request sent in step b) further comprises an identifier of said received message.
  • a processor comprising a secure unit (enclave)
  • said enclave comprising:
  • said enclave comprises means, when receiving from a WN or another enclave of a message comprising a given piece of information, to load a first program and execute it in a secure manner, this execution comprising the steps of: a] sending to this WN or other enclave a request comprising:
  • the request sent to the sending step is encrypted with the public key of the WN or other enclave.
  • the message received from the WN or other enclave further comprises the public key of a pair of private / public keys derived from the same given information, and the request sent to the step of sending to the WN or the other enclave is encrypted with said public key derived from the WN or other enclave.
  • the execution of the program furthermore comprises the generation of a message intended for a WN or other enclave comprising said information as well as a certificate of the execution of said program corresponding to said information.
  • the message received from the WN or other enclave further comprises a certificate of the execution by said WN or other enclave of said program corresponding to said information.
  • the message received from the WN or other enclave is received in encrypted state with the public key of the enclave and is decrypted with its secret key.
  • the enclave further comprises suitable means, when receiving from another enclave of a request including a certificate attesting the current execution of said first program and said public key of the derived key pair, to generate and return a message comprising at least one portion (payload) by means of said public key.
  • said received request furthermore comprises a random key
  • the encryption means for returning a message comprise this key
  • Smart Contracts' secure implementation processes are generally completely disconnected from the physical world. In this respect, communicating a processing unit implemented in a process with the outside world opens in principle a door to the possibilities of fraud.
  • One aspect of the invention aims to connect the execution of Smart Contracts with the real world, as will be seen in the following, while maintaining the safety of this execution.
  • a secure on-chip system in which a private key of SoC is memorized in an inaccessible manner otherwise than by the SoC, or the SoC is able to dynamically regenerate this private key, the Soc being able to communicating with other equipment via messages and being able to execute Smart Contracts (WP) in response to receiving messages, and storing at least one Smart Contract to be executed under secure processing conditions, the SoC further comprising communication means between the system and an external module comprising at least one sensor and / or an actuator, these means comprising at least a communication management unit on the system side, and means for securing said communication capable of preventing at least the replacement of a module by another module, the execution of at least one Smart Contract being able to receive as input from said management unit a given data sensor from said module and / or outputting an actuation data to said module.
  • SoC secure on-chip system
  • the system comprises means for signing, using said private key, sensor data received from the module as part of the execution of a Smart Contract, and transmitting said signed data to another secure equipment constituting a part Smart Contract.
  • the system comprises means for receiving a signed actuation instruction from another secure equipment constituting a part of a Smart Contract, for verifying said signature and for applying said instruction to said module.
  • the security means comprise means for learning at least one permanent property of the link between the SoC and the module.
  • the learning means is capable of storing said property at said connection, and the securing means are able to periodically compare the current property with the stored property.
  • the link is wireless, and said property comprises at least one characteristic of the time domain and / or frequency of said link.
  • said property comprises a combination of characteristics of the time domain and / or frequency of said link.
  • the module includes an RFID tag portion.
  • the module includes a standard wireless communication tag that is inviolably attached to a commercially available sensor and / or actuator.
  • the security means comprise means for logical pairing between the system and the module.
  • the security means comprise means for verifying the persistence of the pairing.
  • the means for verifying the persistence of the pairing and / or the means of communication comprise the sending of a nuncio to the module and the analysis of a response of the module taking into account said nuncio.
  • the system comprises a specific memory for sensor and / or actuator data from / to said module and a management unit of said memory able to read and / or write data in said memory during the execution of a Smart Contract among the Smart Contracts authorized to access this data.
  • said memory management unit is part of a general memory management unit further comprising a Smart Contracts memory access management unit and a data memory respectively associated with the different Smart Contracts.
  • said general memory management unit also comprises a unit for managing a memory for units of account (tags) received by transactions included in messages, able to read and / or write data in said memory of units of account. account when executing a Smart Contract among the Smart Contracts authorized to access these units of account.
  • the general memory management unit is able to load a Smart Contract for execution from a Smart Contract designation contained in a message arriving in the system.
  • the smart contract waits until the time, retrieves the weather report from an external service and behaves appropriately based on the data received.
  • the WN clones are able to coordinate to treat, according to predetermined rules (according to configuration parameters), cases of different responses to the same requests (according to approaches such as take the majority, the average, etc.) - the essential advantage brought compared to the Ethereum nodes being the access to the network, thus avoiding the intermediation by a trusted third party.
  • predetermined rules according to configuration parameters
  • cases of different responses to the same requests according to approaches such as take the majority, the average, etc.
  • Ethereum smart contracts are understood as “cryptography” boxes “that contain value and only unlock it if certain conditions are met” [sentence extracted from Ethereum White Paper already cited], whereas according to the system of the invention, smart contracts are implemented as "Wallet Program” (WP) executable contracts between nodes (WN) of the Wallet Nodes network, and having the following characteristics:
  • a WM being likely to include one or more transfer transactions "values" of the transmitter WN to the receiver WN;
  • the WN system comprising means in each WN to prevent a double-spend of these values, and A WN advantageously comprising means for reserving the consumption of these values to one or more authorized WP programs.
  • the system of the invention thus combines the conventional design of the contracts “something that should be fulfilled” or “complied with” with that of Ethereum [”rather, they are more like” autonomous agents “that live inside the Ethereum Execution environment, always executing a specific piece of code when “poked” by a message or transaction, and having direct control over their own balance and their own ke '/ value store to keep track of persistent variables ”) [phrases also taken from Ethereum White Paper already cited].
  • the WN nodes are comparable to the Ethereum nodes: the address of an Ethereum node, determined from the public key of a key pair, is analogous to the address of a WN which is determined from the public key of the WN in question.
  • a smart contract is an executable code "Wallet Program” (identified by its hash “#WP”], compilable code from a language like Solidity [http://solidity.readthedocs.io/en/develop /introduction-to-smart-contracts.html (incorporated here by reference]] but with adaptations allowing the WN to have access to the network, that the transactions generated by a WN can transfer values in any units (and not only ethers], etc.
  • WN While in Ethereum a contract execution is performed on a large number of nodes (the miners) which validate it, in the case of WN, when a contract (WP) is executed, the node on which this execution was caused is the only one that executes it and has its own persistent state variables.
  • WP contract
  • WNs represent a more general model in that the persistent variables of a node are of general use, they do not represent only a balance in Ether and they are not necessarily contract-related variables for all the nodes that execute it (they are not necessarily the shared variables constituting the key / value store of an Ethereum contract [see Ethereum White Paper already cited]].
  • the WNs guarantee the integrity of execution by hardware constraints and, advantageously, by redundancy (for even greater security), said node then being a virtual node materialized by a plurality of mirror nodes memorizing, manipulating and maintaining synchronized the variables specific to said virtual node.
  • the Bitcoin protocol requires waiting for block-by-block transaction confirmations that, depending on the approach adopted, take today from a few seconds to about ten minutes each and involve limited transaction volumes.
  • Ethereum as well as the method as described in FR 3,018,377 A1 in the name of the applicant, allow the decentralized execution of executable contracts.
  • the hardware proposed according to the invention allows a treatment without disclosure, property (called “confidentiality”) offered in particular by security environments such as new Intel processors for their environments (enclaves) secure "SGX" , and there is some research on homomorphic encryption for cloud processing that offers guarantees of the integrity of execution and non-disclosure of the processed data and even of the executed code.
  • the homomorphic encryption technology is in research phase and not yet operational except in limited or special cases.
  • SoC system-on-chip
  • IoT Internet of Things
  • a method for establishing connection weights between nodes of a network implemented by communicating computing processing units comprising, for determining the connection weight of a second node vis-à-vis a first node, calculating a determined combination of weighting factors (influence , proximity] of third nodes that are IRL-connected to the second node.
  • connection weight of the second node influences the weighting factors of the third nodes, and furthermore comprising an update of the values of the weighting factors of the third nodes after calculation of the connection weight of the second node.
  • a first processing unit implementing the first node making available by proximity read a machine-readable code encoding a random data (nonce), at another processing unit implementing the other node, read the code readable by machine, extracting said random data and calculating a hash of said random data, transmitting from said other processing unit to the first processing unit via a communication channel the public key associated with said other node and a signature (of the hash) of the data randomly done with his private key,
  • connection weights with the first node, and wherein the determination of the connection weight of a given second node vis-à-vis the first node is also based on the weights of said second second connections nodes vis-à-vis the first node:
  • a method for determining the influence of a first node in a network of nodes implemented by communicating computing processing units comprising determining an influence factor of a given node based on the number of second nodes having a real connection with said given node and connection weight values determined by the method of the in which a plurality of second nodes have connection weights with a first node, and wherein the determination of the connection weight of a given second node vis-à-vis the first node is also based on the weights of connections of said other second nodes vis-à-vis the first node, for the different second nodes.
  • connection weight of a second node vis-à-vis the first node is also determined on the basis of values of the respective influence factors of the third nodes having a real connection with said second node.
  • connection weight and influence factor are determined iteratively until their convergence into values which no longer vary significantly.
  • a method for establishing so-called “near-real" connections between nodes of a network implemented by communicating computer processing units.
  • each node being associated with a public key and a private key, a given node being able to communicate its public key to another node, thus forming a so-called real connection ("IRL-connected") between the two nodes, and each node being also capable of communicating to another node a public key received from yet another node, thus forming an indirect connection between the other node and the other node, each node being able to have a specific connection weight vis- to another node with which it has a real or indirect connection, including the following steps:
  • the second node in response to receiving the random code in redundancy, generate a signature of the random code using the private key of the second node and return to the intermediate nodes said signature and the public key of the second node , encrypted using the public keys of the intermediate nodes, respectively,
  • the first and second nodes can then exchange encrypted information with a security linked to the connection weights of the intermediate nodes.
  • the random code is generated jointly by a set of nodes formed by the first node and by the intermediate nodes, by the implementation of the following steps:
  • said distinct communication channel is based on a social network, and comprising a step of publication by the second node on said social network of a signature of said random code and its public key.
  • the method further comprises, in response to the success of the verification step of the signature of the random code received from the second node, a step of assigning a connection weight of the second node vis-à-vis the first node .
  • the method according to the first aspect is implemented in a network comprising nodes with quasi-real connections established according to the third aspect, and the quasi-real connections are considered as real connections in the sense of the process, with a weight taking into account the quasi-real nature of the connection.
  • connection weight values assigning to each node at least one countersignatory node having a connection weight above a threshold vis-à-vis it,
  • each node maintaining a list of countersigning nodes of nodes capable of receiving messages (WM) from the node in question, each node and its countersigning nodes forming a set of mirror nodes,
  • WM messages
  • the messages are sent by the sending node as well as by the only countersigning nodes of the sending node which are also countersigning of the destination node.
  • a message sent from a first node to a second node is validated by the second node only if the respective sets of mirror nodes of the first and second nodes have an intersection whose number of elements is greater than a certain threshold and if
  • the second node has received the same message (in redundancy) from at least a given fraction of said mirror nodes belonging to this intersection.
  • a node in a method according to the first aspect implemented in a network comprising mirror nodes according to the fifth aspect, a node is considered to be countersigning a given node only if the connection weight of the node in question is at least equal to the small connection weights of the nodes having actual connections with the given node.
  • a system for securing the operation of a network of nodes capable of executing programs (WP) in response to the reception of messages (WM), the nodes being able to be linked together according to the weights different connection, able to:
  • connection weight values assigning to each node at least one countersignatory node having a connection weight above a threshold vis-à-vis it, at each node, maintaining a list of nodes countersigning nodes capable of receiving messages from the node in question, each node and its countersigning nodes forming a set of mirror nodes,
  • a message receiving node only validates it if the respective sets of mirror nodes of the sending and receiving nodes have an intersection whose number of elements is greater than a given threshold and if the receiving node has received this same message (in redundancy) from at least a given fraction of said mirror nodes belonging to this intersection.
  • a system for securing the operation of a network of nodes constituted by systems on a chip capable of executing programs (WP) in response to the reception of messages (WM), characterized in that it comprises in combination the two following architectures:
  • an architecture for determining countersigning nodes, for duplicating messages from / to the countersigning nodes, and for determining the identical nature of the messages received.
  • a system for the secure execution of programs in an architecture comprising a set of equipment connected in a network, characterized in that it comprises, in at least one device, a system-on-chip (SoC) secure in which is stored in a way inaccessible otherwise than by the SoC a private key SoC, or the SoC is able to dynamically regenerate this private key (PUF technology),
  • SoC system-on-chip
  • SoC SoC able to communicate with other equipment only by messages and being able to execute programs only in response to receiving messages
  • a SoC being able to store at least one program to be executed after encryption by the SoC and to generate a hash of the or each program making it possible to retrieve the encrypted program
  • the equipment being further able to send the SoC a message containing data input (data) for a certain program to be executed, as well as the hash of said program (# P2), the SoC being able, in response to such a message, securely, (i) access the encrypted program to execute at from the hash (# P2) of the program received in the message, (ii) decipher the program instructions on the fly, and (iii) execute the decrypted instructions on the fly.
  • the SoC inserts the hash (# P1) of the program running in the message to be sent, as well as the signature of this hash by means of said secret private key of the SoC.
  • the SoC inserts the hash (# P1) of the running program into the body of the message to be sent that the SoC signs using the secret private key of the SoC.
  • the SoC comprises a cryptographic memory management unit (CMMU) in which is stored - or able to dynamically regenerate (PUF technology) - the secret key of the SoC which is accessible only by the CMMU unit who never reveals it, and it is through this unit CMMU that are carried out:
  • CMMU cryptographic memory management unit
  • said decryption for execution on the fly by at least one processor unit included in the
  • the CMMU performs encryption and instruction block storage by instruction block and provides the processor with only one instruction block decrypted at a time for on-the-fly execution.
  • the CMMU inserts the hash (# P1) of the running program in the message to be sent, and the signature of this hash by the CMMU by means of said key private secret of the SoC.
  • the CMMU inserts the hash (# P1) of the running program in the body of the message to be sent, which it signs using the private secret key of the SoC.
  • a SoC-on-chip system for forming a Wallet Node (WN) node of a network, comprising a cryptographic memory management unit with encryption (CMMU) able to ensure a blind execution (blind). ) programs by at least one SoC processor, wherein:
  • CMMU unit In the CMMU unit is stored (or dynamically regenerated) inaccessible otherwise than by the CMMU a private key (secret key),
  • the CMMU unit is adapted to store at least one program to be executed after encryption by the CMMU unit and generating a hash of the or each program for retrieving the encrypted program,
  • Said processor is capable of executing programs only on command of the CMMU,
  • the messages include the identification of a certain program to execute, identified by its hash
  • the CMMU accesses the encrypted program to be executed from the hash of the program received in the message (in particular via a PHT table), (ii) decrypts the instructions of the program , and (iii) transmits to the processor to execute decrypted instructions on said received data.
  • the CMMU accesses the encrypted program to be executed from the hash of the program received in the message (in particular via a PHT table), (ii) decrypts the instructions of the program , and (iii) transmits to the processor to execute decrypted instructions on said received data.
  • the or at least one processor is able to access, and manipulate (creation, update, delete), via the CMMU, persistent state variables (PSV) associated with a given program, which are also encrypted and stored in memory by the CMMU and decrypted on the fly.
  • PSV persistent state variables
  • a message may contain one or more unit of account (UA) transfer transactions from a sending node to a receiving node, the units of account received by a receiving node being able to be transferred again by a transaction contained in a message sent by said receiving node.
  • U unit of account
  • the method includes a memory space for units of account (tags) received by transactions.
  • the method is capable of combining units of account of different tags in the same transaction to be transmitted.
  • the CM MU unit includes means for neutralizing a tag that powers an emitted transaction, so that the UAs thus consumed can not be consumed by another transaction.
  • the CMMU unit comprises means for controlling the use of the tags by the different programs, so that only an authorized program can feed a transaction to be generated from a given tag.
  • a program can alternatively be triggered on flow of a timeout for a given program and the CMMU unit is also able, on occurrence of a timeout associated with the hash of a program (i) to access in memory the program encrypted to from this hash, [ii) decrypt the instructions of the program, and (iii) transmit to the processor for execution the decrypted instructions.
  • the CMMU performs said encryption and instruction block storage by instruction block and provides said processor with a single block decrypted at a time, for on-the-fly execution.
  • the CMMU inserts the hash (# P1) of the running program in the message to be sent, as well as the signature of this hash by the CMMU by means of said secret private key.
  • the CMMU unit inserts the hash (# P1) of the running program in the body of the message to be sent that it signs by means of said secret private key.
  • Certain [WM] messages constitute tag transfer messages stored in systems with a memory space for units of account [tags] received by transactions, and the validation of a tag transfer message at the level of a destination node is realized only if it exists in intersection between the set of mirror nodes of the destination node and the set of mirror nodes of each of the upstream nodes from which such a tag was initially transferred a number of nodes greater than a given threshold.
  • a transactional system with a peer-to-peer distributed architecture implementing transactions for transferring units of account between unit sending nodes and unit receiving nodes, each transaction having as input a number of units. input referring to an output of a previous transaction (or several inputs each referring to an output of a previous transaction) and itself having at least one new output specifying a number of units of account and a receiving node, each transaction that can be validated by inserting, in a block chain stored in a distributed manner between the nodes, a signature of the transaction, characterized in that at least some of the transactions are performed by nodes capable of providing a condition of said transactions, in that it includes means for processing a set of transactions satisfying the blindness condition of man simplify this set according to the quantities of units of account and the addresses of the sending nodes and the receiving nodes involved in these transactions, to generate a reduced set of transactions, and to generate and store in the blockchain only those transaction signatures of the reduced transaction set.
  • a transactional system with a distributed peer-to-peer architecture implementing transactions for transferring units of account between nodes. transmitters of units and nodes receiving units, each transaction having as input an input referring to an output of a previous transaction (or several inputs each referring to an output of a previous transaction) and having itself at minus a new output specifying a number of units of account and a receiving node, each transaction being able to be validated by insertion, in a block chain stored in a distributed manner between the nodes, of a signature of the transaction, characterized in that that at least some of the transactions are performed by nodes capable of ensuring a blindness condition of said transactions, in that it comprises means for processing a set of transactions satisfying the blindness condition so as to simplify this set according to the quantities of units of account and the addresses of the sending nodes and the receiving nodes involved in these transactions, to generate a set of reduced transaction size, and to generate and store in the block chain only some of the signatures of said reduced set and that on instruction of
  • a method for carrying out a transaction between nodes of a network associated with users and capable of transferring between them units of account and capable of communicating with each other by messages, each message designating a WP program to be executed in the receiving node of this message, and the users being able to broadcast offers elements comprising one or more bid criteria and likely to give rise to transactions on the network, the method comprising the following steps:
  • the quasi-real connections are considered as real connections in the sense of the process, with a weight taking into account the quasi-real nature of the connection.
  • FIGS. 1a, 1b and 2a, 2b show methods for calculating the connection weight of the nodes of the user's environment.
  • FIGS 3a to 3d schematically show messages sent between mirror nodes.
  • Figure 4 illustrates a use of a persistent state variable (tag) by two WP programs on a Wallet Node.
  • FIGS 5a and 5b schematically show tag transfer transactions.
  • Figure 6 shows schematically the behavior of the mirror nodes in the case of a message chain transmitting tag transfer transactions.
  • Figure 7 illustrates a message with a specification of all hashes of valid executable codes.
  • Figure 8 illustrates the propagation of acknowledgments between Wallet Nodes.
  • Figure 9 shows schematically an example of payments made between Wallet Nodes by abstract Bitcoin transactions.
  • Figures 10 to 15 show schematically the actual Bitcoin transactions corresponding to the abstract transactions in Figure 9.
  • Figure 16 shows schematically another example of payments made between Wallet Nodes by abstract Bitcoin transactions.
  • FIGs 17 to 19 show schematically the actual Bitcoin transactions corresponding to the abstract transactions in Figure 16.
  • Figure 20 shows schematically the process to guarantee the commitments of a Wallet Node that would become non-responsive.
  • Figure 21 schematically shows a SoC including a CMMU receiving an executable program.
  • Figure 22 schematically shows a SoC comprising a CMMU receiving a message comprising input data for a program to be executed.
  • Figure 23 shows the general architecture of a Wallet Node.
  • Figure 24 shows in block diagram form the general architecture of a Body-SoC and an associated sensor or actuator module.
  • Figure 25 shows in functional block diagram form how the Body-SoC potentially implements different WNs, and the different types of memories.
  • Figure 26 illustrates a feature for securing tree-chain transactions.
  • FIGS 27 to 29 show schematically tree chain transactions that are not necessarily broadcasted and an associated security process.
  • the term “user” may designate, depending on the context, a particular node of a network, each node having a pair of cryptographic keys. Moreover, the term “user”, except when speaking explicitly of a human user, may designate a device or a program associated with it. For example, an indication of the type "user A sends user B such data” will mean that "the device or program associated with user A sends such data to the device or program associated with user B". Finally, vis-à-vis a given device or program, the term “user” may in some cases designate another device or program.
  • the nodes are "Wallet Nodes” WN respectively associated with users U and able to communicate with each other by "Wallet Messages” WM in order to materialize different types transactions or commitments (typically smart contracts) affecting the U users associated with the WNs.
  • These WN constitute the nodes of a graph with connections between the WN constituting the edges of the graph.
  • the WNs can be of different types (soft or system-on-chip or enclave) and the links between WN can be noted or weighted.
  • a WM message may be sent by an originating WN to a destination WN only if the link between the two WNs considered satisfies a certain notation and / or weighting.
  • FIG 23 shows the architecture of a WN.
  • the "quasi-WM" messages are messages (in reception) which are not issued by a WN but whose format is the same, in that, like the WMs, they contain the hash of WP to execute upon receipt of the message.
  • this architecture provides that processor processing (PROCESSOR) is light and that WM and non-WM message transmissions are non-blocking:
  • Non-blocking A response from a WN to a WM is another WM that refers to the first one. It is not blocking either the execution of a WP waiting for the response of "User” or “Network” to a “Non-WM” message sent- "User” being the user's terminal
  • HTTPS HyperText Transfer Protocol
  • WN supports TLS handshakes (which can be implemented using a library such as "mbed TLS” [https://tls.mbed.org/] whose modules are loosely coupled and allows 'use parts without having to include the total library) and perform all cryptographic operations, leaving the terminal to which it is coupled the role of input / output interface supporting low layers (TCP), to ensure the integrity of said end-to-end data.
  • TLS handshakes which can be implemented using a library such as "mbed TLS” [https://tls.mbed.org/] whose modules are loosely coupled and allows 'use parts without having to include the total library
  • TCP input / output interface supporting low layers
  • non-light processing which is subcontracted by non-WM messages
  • the HTTPS messages considered “blocking” are subcontracted to a computer able to return a certificate of authenticity and integrity execution (enclave SGX).
  • emitted HTTPS messages that prove to be blocking are canceled and subcontracted automatically.
  • FIG 23 shows that the WMs are able to transfer values (tags), in the form of transactions (tx) which is described later in the sections "Tags”, “CMMU - Crypto Memory Management Unit” and “Improvements to CCC ".
  • a first user and his terminal, for example a mobile phone
  • his terminal for example a mobile phone
  • shows him a Nonce a random number used only once
  • a QR code generated in his terminal from this Nonce.
  • This other user (who is nearby, by means of his terminal) photographs this QR code, interprets it to reconstitute this Nuncio, calculates its hash (by chopping means the result of the application of a function of common predetermined cryptographic hash), and returns to the first user his own public key in the clear and his (minced) signature of said nonce.
  • a secret "passphrase” can be communicated orally, this can be done by telephone if the other user is not nearby, and the other user calculates in his terminal the hash of this "passphrase” instead of the mint of the Nuncio, then returns his signature with his key.
  • the terminal of the first user verifies the signature with respect to the received key and the nonce (and / or passphrase) and records the key (public) of the other user.
  • the two users can now communicate to each other encrypted information (optionally by generating / using a common symmetric key by Diffie-Hellman) - to start well sure by the communication by the first user of his public key (encrypted by means of the public key of the other user).
  • These communications also include keys from other users that each user could previously receive by using the same method or keys that other users still communicated to those other users by the same method, and so on.
  • the node of said first user is "IRL-connected" (IRL for "In Real Life") to the node of each of said other users having communicated its key by the method described above, each node being identified by its key public address (or an address derived from it).
  • each node can reconstitute a part of the network, constituting its "entourage”, and associate with each node of the entourage a "connection weight”.
  • IRL-connections or "real connections" in the entourage of an NI node, composed of six nodes (including NI) whose connection weight is therefore to be determined.
  • the connections are bidirectional and the solid lines represent IRL-connections.
  • the method is implemented by the first node (NI), which associates to each node of its entourage a connection weight and an influence factor (which are implicitly equal to zero by default). Initially, the first node has an influence factor equal to 1 (and all other nodes implicitly have a zero influence factor).
  • the method comprises the following steps:
  • connection weight of each second node is the normalized sum of the influence factors of the nodes (called “third nodes”) that are IRL-connected (or to which it is IRL-connected), added to its weight of previous connection.
  • the connection weights are then normalized again (that is, divided by 2).
  • Step 2 The influence factor of each third node is the normalized sum of the connection weights of the (second) nodes that are IRL-connected to it.
  • Step 3 The process is repeated from step 1 until convergence (i.e. as the difference between the last connection weights determined in step 2 and the previous connection weights remains higher at a threshold).
  • Figure la presents an example of IRL-connections between nodes.
  • the connection weights resulting from the method, associated by the first node with the nodes of its entourage are indicated on each node.
  • the node 3 which is IRL-connected has a connection weight (equal to 0.15) less than that of the node 5 (0.21) which is not, this being due to the fact that the latter is indirectly connected via cluster nodes 1 and 6.
  • the first node (the user) will accept messages (WM) only from nodes whose connection weight is greater than or equal to the smallest connection weight among the connection weights of the nodes with which it is IRL-connected.
  • the messages (WM) from nodes whose connection weight is less than the connection weights of all the IRL-connected nodes to the first node are not valid.
  • NI accepts messages (WM) that would arrive from any node in its vicinity except node 4 (whose connection weight, which is 0.12, is less than connecting weights of all IRL-connected nodes to the first node, namely nodes 1, 3 and 6).
  • Figure lb shows these same nodes placed in a set of second nodes ("2 d nodes") and third nodes "3 rd nodes”).
  • the respective influence factors of the third nodes and the respective connection weights of the second node are indicated in parentheses with respect to their values at the first iteration, and underlined when they have converged.
  • a coefficient (determined according to the configuration parameters, in particular according to the size of the surroundings) may advantageously be applied to the aforementioned connection weights before adding.
  • a first node (the user) assigns a "connection weight" to a second node based on the number of intermediate nodes leading to it (and configuration parameters).
  • the IRL-connected nodes at the first node are associated a weight of 0.5, at the IRL nodes-connected to the latter a weight of 0.25, and so immediately by dividing them by two (if this is the parameter) with each addition of an additional intermediate node.
  • connection weight is normalized.
  • Figure 2a shows an example of "proximity" connection weight at a node N1, associated by this node to the nodes of its surroundings.
  • a first node (the user) assigns a "connection weight" to a second node as follows: Among the nodes of the surrounding of the first node,
  • the influence of the third nodes is also a function of the connection weights of the second nodes that are IRL-connected to them.
  • connection weight by distillation this circular definition requires an iterative process, by successive refinements until convergence (or quasi-convergence, that is to say until the gain of an iteration additional becomes negligible), a process where the same node can alternately play the role of second and third node.
  • An implementation of the method may comprise the following steps:
  • Step 1 Each node of the user's environment is associated with a proximity factor (proximity to the first node) based on configuration parameters, as described in the previous section "Connection weight as proximity”.
  • Step 2 At each (second) node of the user's entourage is associated a connection weight equal to the sum (normalized) of the respective proximities of the (third) nodes that are IRL-connected there.
  • Step 3 At each (third) node of the user's entourage is (re) associated an influence factor equal to the sum of the connection weights of the (second) nodes of the user's environment. This factor is normalized.
  • Step 4 At each (second) node of the user's entourage is associated a new connection weight equal to the normalized sum (on IRL-nodes connected to the second node) of the "influence * proximity" products,
  • the product "influence * proximity" being normalized, that is to say equal to the normalized sum of the respective influences of the (third) nodes of the entourage of the user who are IRL-connected to the second node weighted by their proximities at the first node (or other combination of these factors, as described below).
  • Step 5 Repeat from Step 3 as long as the difference between the last connection weights determined in step 4 and the previous connection weights remains above a threshold (based on configuration parameters).
  • FIG 2a shows the nodes of the user's entourage with their respective proximity factors (calculated in Step 1) in relation to the first node (identified by "2"), factors indicated in italics.
  • Figure 2b shows these same nodes in two sets: the set of third nodes ("3 rd nodes") and the set of second nodes ("2 nd nodes").
  • This figure indicates (in parentheses) an initial connection weight (calculated in Step 2, relative to the first node) for each second node (as being the sum of the respective proximities of the third nodes that are IRL-connected there).
  • the initial influence factor (calculated at the first execution of step 3) is indicated in parentheses to the left of each third node (this factor is equal to the sum of the connection weights of the nodes at which the third node is IRL-connected).
  • the connection weights (relative to the first node) calculated in Step 4 after convergence is indicated underlined (in two of nodes).
  • the connection weight is obtained by summing (and normalizing) the products "influence * proximity".
  • the method converges here in three steps to provide the value 0.1 for the final influence factor associated with the node "3" (indicated underlined in Figure 2b in the third nodes) and the value 0.05 for the final connection weight node "4" (indicated underlined in Figure 2b in the second nodes).
  • the process converges to the value 0.13, equal to that for node 3.
  • step 4 of the mixed method the term “influence * proximity” of the calculation expression of the connection weight can be replaced by an expression of the type "lambda * influence + (l-lambda) * proximity ", the lambda coefficient can typically take the value 0.5.
  • this coefficient is increased, the proximity factor (proximity to the first node) of each third node thus progressively leaving room for the connection weights at the first node of the second nodes that are IRL-connected to it. .
  • connection weights such as those presented above or in WO2016120826A2
  • their results can be weighted according to coefficients refined by learning. These results allow the first node (the user) to validate other nodes in the various processes presented in this text.
  • connection weights allow to use a connection method similar to that described above in the section "Communication on Out-of-Band-Channel", but automatically, if one uses a plurality of nodes in redundancy.
  • a method implementing this method is described below on an example of key exchange between a first node (Alice) and a second node (Bob) via intermediate nodes having a high connection weight with respect to first node.
  • the WN corresponding to these nodes are able to receive or transmit messages on a plurality of channels (such as SMS, email, etc.). This process comprises the following steps:
  • the WNs of said intermediate nodes use a separate and easily automatable channel, such as SMS, to communicate (in redundancy) this same Nuncio to Bob's node, as well as their respective public keys (it is all the better if they use different channels between them);
  • the WN of Bob's node detects the arrival of these Nonces and returns, to said intermediate nodes, his signature of this Nonce and his public key encrypted by means of the public keys of these latter;
  • the WNs of these intermediate nodes verify the signature by Bob's node of this Nuncio (by decrypting it with its public key and checking the hash) and, if successful, communicate to Alice WN the key of the node Bob signed by themselves and encrypted with Alice's public key;
  • Alice's WN then records the key of Bob's node and can then exchange encrypted information with this node.
  • connection weights of said intermediate nodes can then represent connections all the more secure that said connection weights of said intermediate nodes are strong and that their number is significant.
  • the connections with the nodes for which said intermediate nodes have strong connection weights and are in sufficient number are marked “quasi-real” and the method for determining connection weights (such as those described above: “Connection weight per Distillation ",” Connection weight as proximity "and” Mixed process "] assimilate them to IRL-connections, to a close coefficient.
  • step 1 of the above method instead of Alice's WN generating said Nuncio individually, this Nuncio is generated together with the WNs of said selected intermediate nodes.
  • This complementary process is also automatic and comprises the following steps:
  • step 2 of the "Redundant Key Communication” method the intermediate nodes do not simply communicate the same final Nuncio to Bob's node, but also communicate said respective nuncios they have each separately generated (like described above), in step 3 Bob signs all these received nuncios, which allows the N intermediate nodes to ensure in step 4 that Bob has received the N nonces they have communicated in total.
  • the WN of first node (Alice) gets the key of the second node (Bob) directly from these intermediate nodes.
  • WN app on a social network.
  • the "Alice” user of this app is one of the nodes.
  • This app is able to receive and send messages on a plurality of channels (such as SMS, email, etc.).
  • connection weight of a friend can be determined according to the method described above, be added as an attribute in said list of friendly nodes and made accessible from from this list.
  • friends with a connection weight greater than a given threshold can be retrieved by a function call such as the following:
  • the respective WN apps of these friends use a separate and easily automatable channel, such as SMS, to communicate (redundantly) that same Nuncio to Bob's WN app, as well as their respective public keys (this is all the better if these friends use different channels between them); 3.
  • Bob's WN app detects the arrival of these Nuncios and publishes in the social network (on his wall) his public key and his signature of this Nuncio- additionally, optionally, Bob's WN app returns directly, the WN app said Alice's three friends, his signature of this Nuncio and his public key encrypted using the public keys of the latter;
  • the respective WN app of the said three friends of Alice check the signature by Bob's WN app of this Nuncio (decrypting it with his key and checking the hash) and, if successful, communicate to the Alice's WN app the key of Bob's node signed by themselves and encrypted with Alice's public key (advantageously he also certifies this key by publishing their own signature on Bob's wall);
  • Alice's WN app checks (double-check) the key to Bob's node by decrypting his published signature on his wall with that key and checking the Nuncio's hash, records the key to Bob's knot, and can now, if successful, exchange encrypted information with Bob's node.
  • connection weights equates them with IRL-connections, with a coefficient near.
  • Bob's public key published by Bob in the social network is permanently accessible by at least all the nodes connected to Bob as friends.
  • step 1 of the above method instead of Alice's WN app generating said Nuncio individually, this Nuncio is generated together with the WN app of said selected friend nodes.
  • This complementary method is the same as that presented above, except that the WN are WN app here.
  • a redundancy is created for each node with "mirror nodes" in which the data are kept synchronized and some of which perform the mirror processing, for at the same time:
  • a “node” (Wallet Node) is now a virtual node (denoted VWN X for "virtual wallet node” of the user x), materialized by a plurality of mirror nodes comprising:
  • WN nodes
  • WP wallet Program
  • a message (WM) sent from one to the other is valid only if at least 10% (or other percentage also determined according to configuration parameters , or a given number also determined according to configuration parameters) of common mirror nodes executed this contract identically ("in mirror”) and sent an identical message (WM) to the destination of the other node.
  • a destination node of a message only validates this message if the respective sets of mirror nodes of the sending and receiving nodes have an intersection whose number of elements is greater than a given first threshold and if the destination node has received the same message (in redundancy) from at least a given number or a given fraction (corresponding to a second threshold, always according to the configuration parameters) of said mirror nodes belonging to this intersection.
  • the actual WN app of the Bob node will only consider a valid WM message sent by the actual WN app of the Alice node as valid if it also receives this sent message (on behalf of the Alice node) from at least 10% of their mirror nodes in common (which are for example also WN app).
  • Each node running Wallet Programs synchronizes its data, namely: the variables PSV - Program State Variables - and NSV - Node State Variables, as well as its "Tags" (described later) on all of its mirror nodes, this set including the union of all respective sets of mirror nodes that are in common with the nodes with which said each node has an active Wallet Program.
  • Said data synchronizations are carried out: in part by sending (by Wallet Program) a WM message which triggers the updating of the data (PSV, NSV and tags) by (same) Wallet Programs which run on the receiving nodes and,
  • the data is synchronized directly by data update notification WMs.
  • Each node synchronizes the list of its mirror nodes with the nodes with which it has a connection weight greater than a threshold, and said data synchronizations are performed with respect to these lists of mirror nodes.
  • the synchronization of the lists is carried out by corresponding WMs.
  • Figure 3a illustrates the propagation of a WM from a given VWN1 to a recipient VWN2.
  • the mirror nodes RWN1, CWN1 each memorize the list L2 of the mirror nodes of VWN2 in order to be able to direct the WM of identical content for all the sending mirror nodes and the destination mirror nodes.
  • Figure 3b describes more precisely the sending of messages between mirror nodes. It shows, among the sets of countersigned nodes in common, CWNAB between the nodes of Alice and Bob on the one hand, and CWNBC between the nodes of Bob and Cari on the other hand, Yunion of these two sets (+ the real node Bob RWNB) being the set of mirror nodes of the Bob node that are synchronized following any WM message sent to Bob's node.
  • the Alice and Carl nodes each know not only their respective mirror nodes in common with the Bob node, but the entire set of mirror nodes of the Bob node (thanks to the mirror node list synchronization discussed above). .
  • Figure 3b also shows a WM message generated by the Alice node following an interaction with the user (Alice), WM message to be sent to Bob's node.
  • PWM announcement message
  • PWM pre-wallet-message
  • Figure 3c shows an attempt to synchronize all the mirror nodes (RWNB, CWNAB, CWNBC) of Bob via DSM type messages, in a situation where the real node RWNB is not responsive for one reason or another .
  • Figure 3d shows a message WM 'sent by the node VWNB to the Cari node VWNc, message generated not following an interaction of the real node of Bob with his user (Bob), but following said WM message received from the node of Alice (generated by the executed WP instructions).
  • the mirror nodes that have actually received this message from the Alice node are able to generate the said message at the node of Cari (by the execution of this WP).
  • Figure 3d shows that the real node of Bob is non-responsive and therefore does not issue the WM 'message (which is represented by a "! In the figure), and that despite this, the other mirror nodes of the Bob's node send this message to the Cari VWNc node (which solves the problem of non-responsiveness).
  • each of the mirror nodes of VWNc that receive WM ' will require the receipt of an identical message from 10% (or other percentage determined according to configuration parameters) of nodes CWNBC mirrors in common with this (Bob's) node. Cari can thus count on the fact that the message has been generated, and has been generated by the WP smart contract in question which has not been tampered with (this solves the commitment guarantee problem).
  • connection weights of the mirror nodes are each greater than or equal to the smallest connection weight of the IRL-connected nodes (or in near-real connection) of its entourage.
  • a coefficient can be applied to it: the connection weight of each mirror node must be greater than or equal to the smallest connection weight multiplied by a coefficient (determined according to the configuration parameters), among the connection weights of the nodes with which it is IRL-connected (and by another coefficient for the nodes in quasi-real connection).
  • a hard WN is a SoC as described in PCT application WO2016120826A2 and further to the section "CM U", or an enclave as described in the sections "Mixed network SoCs WN and Enclaves WN "," WN SoCs Mixed Network and Body Enclaves “or a Body SoC as described in the section” Mixed Body SoC Network and Body Enclaves "), the public key (corresponding to the private secret) of each hard WN being certified by its manufacturer, and these hard wallet may be of different manufacturers- however, the messages exchanged between nodes are valid only if the nodes of their manufacturers are themselves linked by mirror nodes of manufacturers in common (see the description below).
  • the node that detects this conflict notifies the information of the conflicting mirror node keys to their respective manufacturers, and these keys are then revoked at those manufacturers. Then, after recycling, they are replaced. This is implemented according to the following steps:
  • each manufacturer node is IRL-connected to the node of each other manufacturer having communicated its key by the method described in the section "Communication on Out-of-Band-Channel", some of which also communicating to it the keys of other nodes of manufacturers who are thus indirectly connected, each thus constituting his entourage, each node of the entourage being associated with a connection weight as described above;
  • the respective sets of mirror nodes of the manufacturer node of the sending node on the one hand and the manufacturer node of the destination node on the other hand must have an intersection whose number of elements is greater than a given threshold (this in addition to the two conditions specified above concerning the mirror nodes of the sending and receiving nodes) - the number of mirror nodes of said intersection being advantageously weighted by the number of active hard WNs manufactured by the respective manufacturers these mirror manufacturer nodes (see "Manufacturer's Weight” below);
  • the information of the keys of the Conflicting mirror nodes are communicated by sending messages (WMs) to the nodes of their respective manufacturers (and if different, to their respective mirror nodes);
  • the manufacturer nodes i.e., their mirrors
  • the conflicting mirror node keys
  • the majority of hard WN is considered as authentic and the mirror nodes which are different are invalidated and blacklisted.
  • the information of the blacklisted nodes is immediately communicated to the nodes of the environment of the user and of these to the nodes of their own entourages, and so on (and the process can be sophisticated, according to the state of the art and progress in the field of Byzantine consensus protocols).
  • Manufacturer's Weight As already mentioned, the manufacturers' nodes are advantageously weighted according to the number of active WNs of the manufacturer in question.
  • a hard WN of a manufacturer whose manufacturer node has a manufacturer's weight below a certain threshold (according to configuration parameters) is considered to be a soft WN.
  • One possible approach for determining the number of active WNs of a given manufacturer may be to browse the blockchain and count the nodes that have been involved in transactions by directly or indirectly using the manufacturer's certificate (signature by the manufacturer, cf. otherwise). The existence of interactions with other nodes and connection weight values of the nodes involved in these interactions can more generally be considered.
  • a cost token similar to the "gas" of Ethereum (see Ethereum: A secure decentralized generalised transaction ledger, EIP-150 revision, Dr. Gavin Wood- Appendix G. Fee Schedule- http: // paper. gavwood.com/), used to identify the relative cost between the operations (calculations, storage, access to memory, etc.) of a contract execution, can be used to control the processing by mirrors.
  • each WN mirror which is hard WN proposes, to the other hard WN mirrors where appropriate, to issue the message himself and the first one wins.
  • the method comprises the following steps:
  • a first hard mirror WN offers the other hard WN mirrors (if any) to issue the message in question, which expires after a pre-agreed duration (according to a configuration parameter);
  • FIG. 7 of WO2016120826A2 shows a payment of 10 units of account (UA) from a "WN 1" node to a "WN 2" node. These 10 AUs are deducted from the balance of WN1 and added to the WN 2 balance, these balances being Persistent State Variables (PSVs) on these WNs.
  • PSVs Persistent State Variables
  • the WN2 user who receives a WM1 payment message from a WN1 node, following a sale he has made to the latter, executes a Wallet Payment Program WP1, and then pays a premium of insurance by running a WP2 Insurance Wallet Program.
  • 10 AUs are transferred from WN1 to WN2, by means of a message WM1 issued by executing WP1 [this message comprising hash # WP1] and these 10 AUs are paid by WN2 for set an insurance premium, by running WP2 sending a WM2 message [including hash # WP2) to a WN3 node.
  • the application WO2016120826A2 describes certain uses of tags that are created by an owner node “OWN” ["Owner Wallet Node”), have attributes certified by nodes “VWN” ["Viewer Wallet Node”) in the context of 'a chain of transformation, or supply chain (or commercial chain), and transferred from one OWN to another, reflecting the fact that the product instances (the products, physical or intangible) they represent are in the real world transferred between users of these Wallet Nodes OWN.
  • tags can be recomposed (ie merged or broken down) in one transaction to give other tags.
  • a tag of 10 AU and a tag of 3 AU constituting the inputs of the transaction
  • tags can be recomposed into three tags, constituting the outputs of the transaction.
  • a tag of 5 AU, a tag of 6 AU and tag of 2 AU the total of AU being kept (the unit AU in question was not indicated in the figure, it can for example be BTC -
  • a Bitcoin transaction is a special case of tag transfer transaction).
  • tag transfer transaction such transactions.
  • FIG. 5b Another example of a tag transfer transaction is shown in Figure 5b, which shows the case of 10 fish (10 different tags), each having a different value in Euros, transformed (eg cut) into a fish box (the box with a tag with the label "tg87") with a value of 100 Euros, this transaction tx2 having been generated by owner OWN of the 10 fish.
  • FIG. 6 shows a message written "WMcy / tgx" sent by the node of Cari to a node Y (of which only countersignatory nodes "CWNCY" in common with the node of Cari are in the figure).
  • This WMcy / tgx message transmits a transaction whose predecessor transactions (in the "tgx" chain of tag successions) were previously transmitted by the WMxA / tgx, WMAB / tgx and WMec / tgx messages.
  • a Bitcoin transaction amounts to transferring BTCs, by signing (with a private key) at least one output of a previous transaction that allocates them, to at least one new owner whose the Bitcoin address is derived from its public key.
  • the secret private key of a WN is a private key corresponding to a Bitcoin address (that is to say that the WN generates a Bitcoin address from its secret private key).
  • a WN is thus able to generate a bitcoin transaction whose input (or one of its inputs) is connected to an output (which is intended for it) of an upstream transaction (to which, for example, the user of said WN could access because it is published in the blockchain and has input to that WN input into its terminal), and (optionally) to announce it (broadcast) for it to be inserted into the blockchain. It is understood that this is a real and well-formed Bitcoin transaction that is generated by the said WN, nevertheless in what follows (in the section "Bitcoin Transactions Off-Chain”) the advantages of not insert it.
  • BTCs spent by a WN can come from a succession of off-chain transactions (forming a tree) transferring BTCs from one or more nodes to one or more other nodes, and one wants to mitigate the risk of a double -pend on any of these nodes generating these transactions.
  • a WM For a WM transferring a given tag (for example 0.5 BTC) to be validated by its destination node, the set of mirror nodes of the destination node must have an intersection, whose number of elements is greater than a given threshold, with the set of mirror nodes of each of the nodes of the upstream tree (of tag transfer transactions) from which this tag originates, and at least one of them must be hard WN (or some of them must be hard WN).
  • the implementation of the execution of the method by a WN thus includes traversing, from downstream to upstream, the upstream tree of the WMs carrying tag transfer transactions and verifying the said condition. intersection of mirror nodes (see also "GuardWN, GuardTx, and GuardedTx" later, which describes a method of having mirrors only with the most upstream transactions).
  • each tag includes the information of the upstream tag transfer transaction tree, each transaction indicating the address of the WN that generated it (these WN are called "upstream WN"), which allows, to a WN recipient of a tag transfer WM, to check directly if at least one mirror (or a certain number) of all the upstream nodes are in his entourage, is part of his own mirror nodes and is a hard WN, and for each upstream WN which is not in this case if the connection weight of one of its mirrors which is a hard WN would allow it to be part of it (after possible exchanges of new connections with nodes of his entourage) .
  • upstream WN the address of the WN that generated it
  • each tag is associated with all the upstream tags (that is to say, appearing in the upstream tree, in all the chains of successions of tag transfer transactions leading to the tag in question), with address of the owner node that generated it and with, where applicable, the address of each of its subsequent owners (OWN), as well as the addresses of their mirror nodes, which allows each destination node of a WM transmitting a tag transfer transaction directly verifying the required intersection between its own mirror nodes and said mirror node addresses of each of those owners, as well as the fact that at least one (or some, depending on the configuration parameters) are hard WN, and a search for nodes having strong connection weights is if necessary launched in order to associate new mirror nodes.
  • such an offer to purchase from a key K WN includes a set of elements ⁇ H (S]; $ R; $ P; T [; params] ⁇ announced on this market with SigK signature. ( ⁇ H (S); $ R; $ P; T [; params] ⁇ ) of this WN, where $ P is a penalty that a supplier who agrees to supply at the time T has to pay if he does not do not (see also the "Use Scenario" below)
  • $ P is a penalty that a supplier who agrees to supply at the time T has to pay if he does not do not (see also the "Use Scenario" below)
  • the term ⁇ H (S); $ R; $ P; T [; params] ⁇ is also called "supply elements".
  • WMBid WM (Sig, # WP1), communicating a service offer statement for a "Sig" service (corresponding to an offer element signature by a WN, as described above), message whose recipient is the signatory of Sig and who, if accepted by the latter, binds its issuer (the one proposing the service in question) to pay a penalty in the amount of $ P in case of non-supply within a given period of time. ;
  • WMAccept WM (WMBid, # WP1), communicating, in response to a given WMBid message, the acceptance of the service offer in question, and committing its issuer to pay the amount $ R (specified in the elements of quotation) upon receipt of a WMS message including the secret whose hash corresponds to H (S) (specified in the offer elements in question); and
  • WMS WM (WMAccept, S, # WP1), communicating the secret S in response to a given WMAccept message and triggering on the receiving WN its verification (with respect to the H (S) specified in the offer elements in question in previous messages) and, if successful in this verification, the generation on the receiving WN of a payment transaction of the amount $ R (also specified in the offer elements) sent to the issuer of this WMS message by a final WM of the WN receiver.
  • WP1 is also able, after receiving a WMAccept message, to subcontract the processing (here brute force search secret S) to a trusted computer able to return a certificate of authenticity and integrity of execution, attestation which will be automatically checked by WPl before sending the WMS message.
  • the U2 user of WN2 does not already know this secret S, and also assume that the parameters paramsl include the indication of the maximum number of characters of the searched secret, number indicating that the trusted computer can find the desired secret by force search in a reasonable time. U2 then decides to have his Wallet Node WN2 sent to
  • WMBid2 WM (Sigl, # WP1)
  • WMAcceptl WM (WMBid2, # WP1)
  • WMS2 WM (WMAcceptl, SI, # WP1) communicating the desired secret SI to WN1, and upon receipt of this message and checking the correspondence of the hash of the secret received with H (S1), WN1 generates the payment transaction from $ R to WN2 and sends it (by WM) to WN2.
  • the offer elements can also represent an offer of sale and the approach of the method allows negotiation by iterations of offers and counter-offers, the offer elements being able to evolve in these iterations, the messages then being essentially as follows (if we consider that the first message, here WMBid, is sent by the provider):
  • WMBid WM (Sig, ⁇ H (S); $ R; $ P; T [; params] ⁇ , WP1), communicating a counter-offer ⁇ H (S); $ R; $ P; T [; params ] ⁇ with respect to "Sig", message whose addressee is the signatory of Sig and which, in case of "identical” acceptance by the latter, commits its issuer (the WN offering the service in question) to pay a penalty of the amount given $ P in case of non-supply within the given period T;
  • WMAccept WM (WMBid or WMNewBid, ⁇ H (S); $ R; $ P; T [; params] ⁇ , # WP1), communicating a counter-offer in response to a given WMBid or WMNewBid message; in the case where ⁇ H (S); $ R; $ P; T [; params] ⁇ is identical to the offer elements of the latter, this WMAccept message commits its issuer to pay the given amount $ R upon receipt of a WMS message comprising said secret whose hash corresponds to H (S); also, in the case where within a (pre-determined) time a WMNewBid message proposing identical offer elements arrives, this WMAccept message directly commits its issuer to pay the given amount $ R on receipt of a WMS message including the secret whose chopped corresponds to H (S);
  • WMNewBid WM (WMAccept, ⁇ H (S); $ R; $ P; T [; params] ⁇ , WP1), communicating a counter-offer ⁇ H (S); $ R; $ P; T [; params ] ⁇ with respect to a given WMAccept offer and whose recipient is the originator of this WMAccept message; in the case where ⁇ H (S); $ R; $ P; T [; params] ⁇ is identical to the offer elements of this given WMAccept message, this WMNewBid message directly commits its issuer (the one proposing the service in question ) to pay the penalty of $ P in the event of non-supply within the given time period T (without waiting for a new acceptance WMAccept message);
  • WMS WM (WMAccept, S, # WP1), communicating the secret S in response to a given WMAccept message and triggering on the receiving WN its verification and, if successful of this verification, the generation of a payment transaction the amount $ R sent to the sender of this WMS message by a final WM from the receiving WN.
  • a variant of this method consists in deporting to the trusted computer, in addition, the verification task of the result provided, and the trusted computer provides an attestation (of the authenticity and integrity of the processing performed for this verification) which serves as the proof.
  • WN2 when providing the result SI, instead of a simple message "WMS2: WM (WMAcceptl, SI, # WP1)", WN2 returns a message
  • WMA2 WM (WMAccept1, SI, A2, # WP1)
  • A2 is said attestation of this successful check performed in said trusted computer, WN1 then not having to perform this check before generating the settlement transaction from $ R to WN2.
  • the certificate A2 is returned without immediately providing the result SI, and this result is provided after WN1 returns (a WM comprising) a payment transaction (at least partial, the payment then being completed by the sending of a final transaction after receipt of the result SI- note also that in the case where the result can be partitioned, several payment-partition iterations can follow one another until complete supply).
  • a problem-solving auction can be created, ensuring for example that a supplier offering a better offer (more complete and / or faster and / or 7) seals a deal.
  • Such an offer may consist not only in the provision of a solution to a given problem but also in verification processes of a proposed solution (in the software testing sector for example).
  • the WN's ability to outsource processing to trusted computers thus extends the power of the WN network, the WN network eliminating neutral third parties in the exchanges, with each WN being able to be manufactured at low cost in a single technology. accessible and relatively widespread, by a plurality of manufacturers, precisely thanks to this possibility of outsourcing which allows the WN to take care of only the treatment concerning the exchanges (the conditions of exchange, the payments, etc.).
  • the Wallet Nodes allow to implement treatments without disclosure of processed data or the code executed in these processes.
  • the execution model adopted for this executable code P is a finite state machine, the execution of which is triggered by the reception of an incoming message and capable of sending outgoing messages.
  • its reception of an incoming message causes the generation of 0 to n outgoing messages and 0 to m changes of states (persistent states).
  • a proxy is associated with a pair of public / private keys, the public key ("K2") of Proxy having previously been certified, in the form of a decryptable signature with a certain public key "K” (in the name of the manufacturer of the SoC, “On behalf of the SoC manufacturer"), to guarantee the "blindness” property of Proxy and including the guarantee of integrity of execution (called “hash-locked execution", “hash” meaning "hashed”).
  • K2 is certified with signK (K2) (Decryption using K)
  • Proxy sends K2 to Client (and (K2, K (K2) sign is accessible by Client)
  • Proxy decrypts fcP, hashes P (#P) and stores ⁇ ⁇ ⁇ in association with ⁇ P, in a table PHT (Program Hash Table)
  • Proxy decrypts ⁇ K2 (input + # P .. as well as ⁇ iP ( ⁇ K2P being retrieved from PHT using #P)
  • Proxy (blindly) runs P (decrypted on the fly) with I (ounce decrypted), encrypts the results using Kl ( ⁇ Kioutput) and returns nonce and ⁇ Kioutput (or garlic encrypted together) along with sign K 2 (nuncio, ⁇ Kioutput ...) to Client, with the owner of Proxy being able to see I, P or thesis results 12.
  • Client decrypts the results and checks them by decrypting their signature with K2.
  • step 8 instead of simply encrypting l + # P with the K2 key of Proxy, Client numbers 1 + # P + K1 [ ⁇ K2Input + # P + Kl), and at the step 9, Client communicates his public key K1 by sending ⁇ K2input + # P + K1. Proxy then returns the results to Client (at his address which may be # K1) without Kl being unveiled.
  • nonce can also be part of the body of the encrypted message [ ⁇ K2Input + # P + Kl + nonce) and in the message returned by Proxy to Client, it also appears in an encrypted manner [ ⁇ Kioutput + nounced).
  • #P so that the user or owner of Proxy can not make the relationship with Customer.
  • the message from Client to Proxy includes:
  • nonce and ⁇ Kutput can be obtained by decrypting sign K 2 (nonce, ⁇ Kioutput) by means of K2, but it is considered in the following that the signatures consist of hash ciphers)
  • nonce advantageously to match an outgoing message to an incoming message and K2 and signK2 (nonce, ⁇ Kioutput) allowing Client to verify that the treatment has been done by Proxy with this key K2 (certified).
  • #P can be the hash of executable code used by Client or Proxy).
  • ⁇ M being viewed as an incoming message (from the point of view of its recipient), nce2 denotes the noncel of the (or each) outgoing message that will be sent by said recipient during processing in response to receipt of this message M;
  • # P1 is the executable code hash executed by the issuer of this message M
  • # P2 is the hash of the executable code required to perform the processing on receipt of this message M.
  • nonce2 identifies the message in question (M), while noncel is the identifier of the incoming message received that triggered the processing that gave rise to this message M.
  • such a message includes a header which indicates in particular the type of the message, this is implicit in the rest of the text.
  • Proxy includes:
  • the message from Client to Proxy includes the following arguments:
  • a more complete message scheme further comprises a specific argument containing, where appropriate, the hash of a specification of the constraints connecting # P1 and # P2, that is to say, restricting the set of valid # P2 to following a # P1:
  • this "spec" specification can be the set of valid executable codes [# P1, # P2, etc.].
  • this "spec" specification can be the set of valid executable codes [# P1, # P2, etc.].
  • the set of valid executable code hashes (# P2 %) (d other implementations are possible].
  • the executable code (in its entirety) which is to be executed by the message receiver is required to be the same as that executed by the sender of the message, ie say that the same #P is propagated from an incoming message received to one (or each) outgoing message generated
  • the message schema be the following (and we can use or refer to this particular option of unified schema in the following, without being limiting]:
  • a microcontroller comprising a general-purpose processor (such as a processor implementing the RISC-V architecture) equipped with a memory internal.
  • the “Sign” part provides cryptographic functions, including the signature functionality by the SoC, the latter in turn being the only one to access the part containing the secret key of the chip (Secret Key)
  • the "(Secret Key)” part is shown in parentheses in the figure since in some implementation options the secret key is not stored but regenerated dynamically.
  • the Wallet Programs part stores encrypted executable codes (P as well as their The Microcontroller loads into its memory in a secure manner, depending on the hash (#P) included in the incoming message (or input via ⁇ / 0) either of these executable codes.
  • the code of this Check / Load part verifies its integrity and authenticity (the public key of the WN transmitter of this WM is used to decrypt the signature by this WN issuer and checking the integrity of the message, the key of the certification signature in representation of the manufacturer is verified and the public key that it certifies is then validated as a key of WN, which confirms the authenticity of said WM), the WP corresponding to said hash is, if necessary, selected in the "Wallet programs" part and loaded for execution.
  • the issue of WM, if any, by said Wallet program is done through the Sign part which checks the hash inserted in the WM in preparation before signing it.
  • the signature subsystem of the transmitting WN to transmit a WM to a recipient WN, the signature subsystem of the transmitting WN generates (or verifies) encryption of the executing WP (ie WP commonly loaded) with the appropriate data to be transmitted, by means of the public key of the recipient WN, and includes it in said WM to be transmitted before signature of said WM to be sent (and on receipt of the WN recipient load for execution this WP once decrypted) thus ensuring that the same WP is re-executed in the recipient WN.
  • WP ie WP commonly loaded
  • the WPs can be organized in versions; in one embodiment, the hashes of the previous versions of the WP in the WM accompany the latter and, for each state variable stored in the chip, the hash of the version of the WP that has recently manipulated it is associated with it.
  • the state variables of a WP can be updated by this one even when its version evolves.
  • the public key corresponding to said secret private key is "certified" by the manufacturer of said WN system-on-chip.
  • This certificate is a signature (it is the signature, by an entity representing the manufacturer, of the public key corresponding to said secret key of the WN) whose signature key (that is to say public key representing the manufacturer) is shared between all (or at least a plurality of) WN on-chip systems of the same manufacturer.
  • Said certificate is produced automatically, regardless of the method of manufacture: mode where said secret key is engraved in the chip as in the TPM or smart cards mode where it is stored in a secure manner, where it is automatically generated in the chip according to the "PUF” [Physically Unclonable Function] technology introduced in [PS Ravikanth, “Physical one-way functions”, PhD Thesis, MIT, 2001] and [Pappu et al., “Physical One-way Functions", Science, 297 (5589): 2026-2030, 2002] (technology implemented in particular in SoC FPGA Smartfusion2 and other chips Microsemi manufacturer), or according to a similar to these.
  • PEF Physical Unclonable Function
  • the authenticity of said public key of a WN transmitting a WM is automatically verified by the WN receiver of this WM when received from audit certificate.
  • the system automatically includes said certificate in WM.
  • BIST Built-In Self Test
  • this same logic BIST will be used to generate the manufacturer's signature (certificate) automatically at the time of this test, that is to say at the time of its manufacture, the private key of the manufacturer allowing this signature being it. - even secret.
  • the secret key private key
  • a request for certification of the latter is transmitted to a signature device by means of the private key representing the manufacturer. .
  • the signature that results from this is advantageously written in the SoC.
  • a SoC Blind has a secret private key.
  • a SoC Blind can communicate with other equipment through messages and is able to execute programs in response to receiving messages (as shown in Figure 23).
  • a Blind SoC is also able to store a program to run received, received in an encrypted manner and / or after encryption by the Blind SoC, and to generate a hash of each program, this hash to find the program encrypted by means of a table "Program Hash Table" (PHT).
  • PHT Program Hash Table
  • a device (Client) can send the Blind SoC a message containing data input data] for a certain program to be executed (P2), as well as the hash (# P2) of said program.
  • the Blind SoC accesses the program to be executed from the hash of the program (# P2) received in the message, (ii) decrypts the program on the fly, and (iii) executes at the stolen the decrypted instructions.
  • a Blind SoC inserts the hash (# P2) of the program running in the body of the message to be transmitted, which it signs by means of its secret key.
  • said program [PI-P2] is a " "smart contract" in the case where the recipient of said message offers the guarantee of execution integrity of this P2 program.
  • Blind SoC includes a CMMU (Crypto Memory Management Unit) which stores - or is able to dynamically regenerate (by PUF technology, previously mentioned) - said secret key of the Blind SoC (which is accessible only by the CMMU which never reveal it), and it is through this CMMU that are performed:
  • CMMU Circuit Management Unit
  • said decryption for execution on the fly by at least one processor unit included in the Blind SoC,
  • Figure 21 schematically illustrates the steps of CMMU receiving a message containing a program to be loaded into memory [MEMORY].
  • the memory [MEMORY] can be external to the SoC or not, and it includes spaces reserved for variables, such as the tags described above, which do not belong to a given program but are shared.
  • the numbered steps represent the following steps:
  • said program to be loaded being encrypted and the hash of said program before encryption being determined, reservation of a memory space that can contain this encrypted program and its persistent state variables which will also be encrypted, and storage of said encrypted program, said hashed allowing later to find it via a table [PHT].
  • the CMMU unit makes said storage of the instruction block encrypted program per instruction block and provides [this processor] a single instruction block decrypted at a time [for execution by the processor of the instructions that the block comprises) .
  • an architecture of microservices https://martinfowler.com/articles/microservices.html] or serverless architecture [https://martinfowler.com/articles/serverless.html] since the functions have a fine granularity, they can constitute non-divisible parts of block.
  • the method for loading programs (executable codes) in Blind SoC advantageously comprises the following steps. On receipt by Bind SoC of a message comprising P and #PP [in encrypted form fcP + # PP 7), where PP is the program loading program and P is the content of the executable code to be loaded, the CMMU:
  • CMMU is responsible for storing the persistent state variables linked to P in isolation, in addrl..addr2, and the generated messages include #P and are signed by CMMU.
  • Figure 22 presents schematically the interactions that these steps represent between different parts (PROCESSOR, CMMU, MEMORY) of the system:
  • CMMU locates in the table PHT, from said hash, said encrypted program, loads it into its cache and decrypts it (block by block);
  • CMMU transmits on the fly the (one block at a time) decrypted program to PROCESSOR for execution;
  • PROCESSOR requires to access or create / update persistent status variables (PSV and / or tags) and ask them to store or delete them, and
  • CMMU accesses and decrypts / encrypts and stores said persistent state variables
  • PROCESSOR prepares a message to be issued
  • CMMU inserts the hash of said executing program and its signature by means of the secret key and sends the message.
  • the CMMU is able to check the required intersections of sets of mirror nodes described above when receiving a WM and for each received tag transfer transaction.
  • WMs can be issued by a SoC Blind (generated by the execution of a WP program) or received as a user input or by another device ("Quasi- WM" messages). ") And include the #WP hash of this program in both cases.
  • Figure 23 shows a WM input tag transfer message, which conveys a transaction (txl), this transaction causing in the memory (MEMORY) at the tag level, the insertion of the tags brought by this new transaction, each tag comprising the data representative of the succession (tree) of transactions upstream, as already described, each associated with the address of the upstream WN having generated it and the addresses of its WN mirrors.
  • the CMMU checks the required intersection between its own mirror nodes and said WN mirrors addresses, as well as the fact that at least one (or some, depending on the configuration parameters) are hard WN.
  • This figure also presents an output tag transfer WM message which conveys a transaction (tx2) generated by the CMMU on instruction of a WP, the CMMU neutralizing (making unconscionable) the tags consumed by this generated transaction (to avoid a duplicate -spend) and generating the new tags or tags that are in output, respective trees upstream transactions associated with them (from the trees upstream).
  • tx2 a transaction generated by the CMMU on instruction of a WP
  • the CMMU neutralizing (making unconscionable) the tags consumed by this generated transaction (to avoid a duplicate -spend) and generating the new tags or tags that are in output, respective trees upstream transactions associated with them (from the trees upstream).
  • CMMU handles the transaction simplifications described below in the "Bitcoin Off-Chain Transactions" section: a simplification consists in replacing at least two previous inter-WN transactions that are not yet inserted in the blockchain with a new one. (or the least possible) replacement transaction (s), the CMMU ensuring that the current balance remains unchanged by these replacements (this mechanism is generic, tag transfer transactions being more general than Bitcoin transactions).
  • Figure 23 also shows a CMMU generated https request that supports handshakes and cryptographic operations, leaving the terminal to which it is coupled the role of input / output interface (at the TCP level) to ensure end-to-end data integrity (the accessed site being trusted).
  • the CMMU also supports Blind SoC management and signing of Non-WM messages (output, as shown in Figure 23 and described above in "WN sending a message to the outside world").
  • the CMMU manages the data from the sensor (s) of a SAM shared by the different WPs (this is described later in the section "Interaction between Wallets Nodes and the Physical World”).
  • the CMMU includes a mechanism to constrain the use of tags by WP programs.
  • a tag can be reserved for use by a WP or linked WPs (see Figure 7), so as to avoid that tag units of account can be spent by a WP that is not authorized to do so.
  • a WP is able to indicate to the CMMU that a tag is reserved for its use, and the CMMU assigns to this tag a mark indicating this reservation at the memory MEMORY.
  • This marking can be lifted on the initiative of the same program, thus making the tag usable again by other WPs.
  • WNs In the case of an attempt by a WP to generate a transaction fed by a tag for which this WP is not authorized, the CMMU prohibits the operation, and the UAs of this tag can not be consumed (because such a transaction can not take place).
  • This architecture allows WNs to reserve UA materialized by tags for certain types of operations to be executed by the WPs that reserved them respectively, and thus to implement commitments based on UA that are blocked at this effect, such as the CCCs described in WO2016 / 120826 A2.
  • the general framework here is a set of nodes that are beneficiaries of CCC commitments and can themselves provide CCC commitment of the same type to other nodes, the latter to others, and so on, the nodes and CCC's commitments thus forming a "networked-insurance" network.
  • a first node having provided second nodes CCC commitment of a certain type, adds (typically staggered in time) on its CCC balance (sum of UA reserved tags) and in accordance with this commitment, a " premium "(similar to an insurance premium) to cover all of these second nodes, and specifies for each second node a threshold signifying how high this second node is covered by it, threshold called" maximum potential contribution ".
  • the first node transfers to this second node, from its CCC balance, a certain amount of UA (see “UA transfer transaction") in exchange of "bonus coupons” (see definition below) issued by this second node
  • UA transfer transaction a certain amount of UA
  • bonus coupons in exchange of "bonus coupons” (see definition below) issued by this second node
  • the amount of this transfer is a function of the CCC balance of the first node and is up to the maximum potential contribution specified for the second particular node.
  • a "bonus coupon" issued by a second node is a "bearer” debt acknowledgment issued in return for a contribution received by the second node in execution of a CCC commitment, following a loss, contribution received from the the first node that is the provider of this CCC commitment.
  • This debt is repayable by the second node in accordance with this CCC commitment (typically in a staggered manner over time) within the limit of the amount of the premium provided for the second node, and pro rata of this contribution received (among a plurality, if necessary). contributions received).
  • the bonus bonds are "bearer” in the sense that, as long as their respective amounts of debt are not yet cleared (that is, there are still AUs to be received), they represent a certain amount of money.
  • the "immediate value in UA" of a bonus voucher is defined as the sum of the amounts it represents on different scheduled terms minus the sum of the respective interests for the durations of these terms.
  • the first bearer of a bonus voucher is the first node that contributed, in execution of a CCC commitment, to the second stricken node that issued this bonus voucher.
  • the immediate value of the bonus coupon thus received by the first node is added to the CCC balance (which is reserved to pay sinister) and it can not be spent (or even partly) to compensate for a claim under this CCC commitment, by the authorized WP (s).
  • Said second stricken node also transfers, to said first node, all the bonus coupons which it has itself received from the downstream nodes to which it has contributed in the past within the framework of the same CCC, always in a mode " to be used only in the event of a disaster ", but here in a” competing "mode (that is to say, replicated and synchronized) and half (or for a given proportion in the CCC) of their respective values.
  • Each bonus coupon can be replicated to multiple nodes at once, can only be used for payment (for some or all of its immediate value) in the event of a disaster and only in the case of the CCC in question, and a payment per voucher at the same time consumes (by synchronization) on all the nodes where it is (including on said first node which contributed to the disaster which is at the origin and towards which it was transferred first).
  • each payment of claim per bonus voucher is, where appropriate, notified by the paying node to the other competing nodes where it has also been transferred and when its value falls to zero, it is deleted on all of these nodes.
  • This message expires after a certain time, set for the given executable code, after which time it is typically re-issued a certain number of times (see the "Non-responsiveness commitment guarantee” section below).
  • the acknowledgment of receipt thus has the following form:
  • a first message (WM1) by a first transmitter (WN1) to a recipient WN2 is, in a given period of time from the sending of WM1 (which is typically fixed for the current executable code), followed by Sending
  • K2 data ack (N1) + # P, nonce2, K1, signK1 (noncel: N1, K2 data: ack (N1) + # P, nonce2), sign K (Kl)
  • the message WM2 of Figure 12 sent from WN2 to WN3, is of the following form:
  • ack (WM2) from WN3 to WN2: noncel: N2, ⁇ K2 data: ack (N2) + # P, nonce2, K1, sign K i (noncel: N2, ⁇ K 2data: ack (N2) + # P, nonce2 ), sign K (Kl) provided that this acknowledgment reaches WN2 within the given timeframe from the sending of WM1, as shown in Figure 12, WN2 propagates it to WN1 in a message "(ack (WM2))" which is the following form:
  • payload being a content dependent on the executable code in question, such as for example the content of W 2.
  • the acknowledgment received from the fourth (WN4) is also propagated step by step to the first transmitter (WN1), to arrive at the message "((ack (WM3))” sent by WN2 to WN1 and containing information " : ⁇ (ack (N2), payloadl), (ack (N3), payload2) ⁇ "corresponding to the following messages exchanged:
  • payloadl and pay ad2 depending on the executable code in question and being for example the respective contents of WM2 and WM3.
  • payloadl and pay ad2 depending on the executable code in question and being for example the respective contents of WM2 and WM3.
  • the part that is useful to communicate is, possibly after transformation.
  • a WN-based method will now be described for materializing (serializing) value unit transfer transactions, so that they can be stored in a blockchain, for example.
  • the units of value in question are BTCs, and Bitcoin transactions (valid and directly insertable in the Bitcoin Blockchain) are generated - but without necessarily having to insert them in the Blockchain, while offering the same guarantees as if they were. (The same process can be transposed to other blockchain-based protocols).
  • the secret private key of a WN is a private key corresponding to a Bitcoin address (that is to say that the WN generates a Bitcoin address from its secret private key).
  • a WN is thus able to generate a bitcoin transaction whose input (or one of its inputs) is connected to an output (which is intended for it) of an upstream transaction (to which, for example, the user of said WN could access because it is published in the blockchain and has input to that WN input into its terminal), and (optionally) to announce it (broadcast) for it to be inserted into the blockchain.
  • Figure 9 shows an example with three Wallet Nodes ("WNl", “WN2” and "WN3") where first of all the WNl user (or a third party) creates an incoming Bitcoin transaction ("Txl") in favor of WNl (having an output giving 10 BTC to WNl), and classically announces ["broadcast”] this transaction which is then inserted in the blockchain, this having the effect of guaranteeing to the user of WNl that only WNl can spend these 10 BTC available to him on Txl.
  • Txl incoming Bitcoin transaction
  • Txl a sequence of several transactions between WN (Tx2, Tx3, etc.), as well as other incoming transactions (from non-WN addresses, in favor of WNl , WN2 or WN3, such as Tx4 which is an incoming transaction in favor of WN2) and outgoing transactions (from WN1, WN2 or WN3 in favor of non-WN addresses, such as Tx7), with each time that it is feasible, a replacement of at least two previous inter-WN transactions with a new one, so that there is preferably only one (or the least possible) of non-broadcast transaction between two WN data, those which have been replaced by being deleted (this means that they are at least marked as such and considered as if they were) and the current balance remains unchanged by these replacements.
  • the method consists of simplifying a set of transactions by updating them, taking advantage of the fact that they are not broadcast (hereinafter "n
  • a transaction transferring BTCs from WN1 to WN2 is generated (such as Tx2), it is signed by WN1 (Bitcoin transaction signature) and communicated to WN2 by message.
  • WN1 Bitcoin transaction signature
  • a creation (or update or cancellation of a transaction, provided it is non-broadcast) is confirmed by sending a message (as defined in the previous section).
  • each transaction is represented abstractly by a box (a square) placed on an arrow.
  • the number inside this box represents the amount transferred from the point of view of the user.
  • Inbound and outbound transactions (that is, not transactions between WNs) are represented by larger boxes than inter-WN transactions. These balances are shown in italics (along the large vertical lines to their right). Said removal of an inter-WN transaction is presented by a small oblique line on the end of the arrow representing this transaction.
  • These replacement transactions (such as Tx6) are represented separately by a double-headed arrow and when they are deleted (as in the case of Tx8) this is also represented by a small oblique line.
  • FIG. 9 shows in the upper left, a re-entry (Txl) of 10 BTC on WNl whose balance was just before 0.
  • Txl re-entry
  • 10 BTCs are transferred (by Tx2) to WN2, the balance of WN1 going back to 0 and the balance of WN2 going from 0 to 10.
  • WN2 transfers (by Tx3) 5 BTCs to WN3 (it thus remains 5).
  • 10 BTCs are transferred to WN2 from a non-WN address (by transaction Tx4 which has been inserted into the blockchain), the balance of WN2 thus going from 5 to 15.
  • WN3 transfers 1 BTC to a non-WN third party through the Tx7 transaction which is broadcast. Therefore, the entire chain of transactions that feed it (this is Tx6 and Tx4 only, as shown in Figure 11 described later) are also broadcast (inserted in the blockchain so that Tx7 can also be) and can not be deleted - they stop being replaceable.
  • Tx9 replacement transaction is itself suppressed following the generation of Txl 2 (both being non-broadcast), giving rise to the replacement transaction Txl 3.
  • Figure 9 shows this replacement as it is perceived by the user, while Figures 12 and 13 described below show the details at the Bitcoin level).
  • Tx10 and Tx15 are generated between WN1 and WN3, are of the same value, in reverse and non-broadcast, and can therefore simply cancel each other out, that is, be deleted without giving rise to a replacement transaction. (Again, it is interesting to see in Figures 13 and 14 the details at the Bitcoin level).
  • Txll and Txl6 which are of the same meaning (from WN3 to WN2) and non-broadcast, give rise to the replacement transaction Txl7 which transfers their sum and which is itself replaceable as long as it remains non-broadcast (details at Bitcoin in Figures 14 and 13).
  • the outgoing transaction Txl8 [broadcast] causes the broadcast of the chain of transactions that feed it and can not be deleted anymore, in this case it is Txl3 (see Figure 15).
  • FIG 9 The Bitcoin transactions presented in Figure 9 are "abstract" in that they present the amounts transferred from the user's point of view but do not show the inputs and outputs of these Bitcoin transactions.
  • Figures 10 to 15 present the real transactions corresponding to the abstract transactions of Figure 9 (by explaining their inputs and outputs).
  • the method of their generation is based on the fact that at a balance available in a WN (the number in italics in the figure) always corresponds to at least (an amount available on) an output in favor of this WN (the total of these outputs being equal to this balance), that we can combine such outputs to connect them to the inputs of a transaction generated by said WN, and in the case of an overrun, return the surplus (called "change") audit WN by an additional output (or as transaction fees). And with regard to the implementation of replacements / deletions, even in the case where an output of a transaction to be deleted (for example Tx10, see Figure 13) is connected to an input of a transaction that it does not. is not expected to delete (Txll) in the same operation, the latter can be automatically updated to be connected to an available output of another transaction (Txl3).
  • the creation of a transaction includes the sending of message (s) within the meaning of the preceding section.
  • the generation of Tx3 by WN2 causes the sending by WN2 of a message indicating it to WN3 and this transaction is actually created only on return of an acknowledgment by WN3 (see also section "Warranty commitment in case of non-responsiveness ").
  • FIG 10 shows the actual transactions Tx1 through Tx5, which correspond to the abstract transactions with the same label in Figure 9. It shows that, although, according to Figure 9, Tx3 only transfers 5 BTCs to WN3, its input takes 10 BTC of Tx2 (since Tx2 only has a 10 BTC output in favor of WN2) and returns 5 BTCs to WN2. In other words, Tx3 has an output of 5 BTC in favor of WN2, in addition to the output of 5 BTC in favor of WN3.
  • Tx3 and Tx5 transactions in Figure 10 are replaced in Figure 11 with the Tx6 transaction, generated by WN2 (and whose replacement notification is sent to WN3).
  • WN2 can connect Tx6 to Tx2 or the incoming Tx4 transaction.
  • the latter is preferred because the upstream supply chain is shorter (or by more complex heuristics).
  • this same figure shows the outgoing transaction Tx7 which is broadcast from the outset and, if instead Tx6 was connected to Tx2, Tx2 should also have been broadcast and could not be later replaced as shown in Figure 12 .
  • Figure 12 shows the result of the replacement of Tx2 and Tx8 with Tx9, as well as the generation of Tx10 transactions by WN1 (to WN3), Txl l by WN3 (to WN2) and Txl2 again by WN1 (but to WN2).
  • Txl5 has the effect of canceling the effect of Tx10, in fact it transfers 1 BTC in the opposite direction.
  • Figure 14 shows the result of this cancellation which results in the update of the input and the output of Txll.
  • Txll and Txl6 are replaced by Txl7 which connects its input to the output of Tx7.
  • This Figure also shows that WNl generates the outbound transaction Txl8 powered by Txl3, which makes Txl3 broadcast and therefore not removable.
  • micro-payments transactions [https://en.bitcoin.it/wiki/Contract#Example_7:_Rapidly- adjusted_.28micro.29payments_to_a_pre-determined_party] and establishment of payment and payment channels in such channels , in particular according to the Lightning Network protocol [https://lightning.network/lightning-network-paper.pdf] can be generated by WN and simplified according to the method described here.
  • Outbound transactions are only broadcast optionally, as there is (almost) no risk of double-spending by the WN (the risk of tampering with a system-on-chip). state of the art being weak, especially in the presence of WN mirrors - see the description of WN mirrors above).
  • an outbound transaction is inserted into the blockchain when at least one output destined for a non-WN address is expected to be spent. Its contents then become accessible, as well as upstream transactions, and these transactions cease to be deletable.
  • Inter-WN transactions can advantageously not be broadcast, but it is not forbidden to do it (anytime).
  • a broadcasted transaction (for inclusion in the blockchain) will not be overwritten since it can not be deleted, but other transactions continue to have the above benefits except when they feed it (the loss of benefit is local to the broadcast transaction + the chain of upstream transactions that feed it).
  • the generated Bitcoin inter-WN transactions are ratified upon receipt of receipt (from their respective beneficiaries) and that two transactions between two WN data are, in the case where none are broadcasted, simplified (replaced by a single transaction or simply canceled) in some cases.
  • a simplification method (also by replacement or simple cancellation) of a plurality of transactions between more than two WNs will now be described with reference to FIGS. This method uses the acknowledgment propagation method described above, their payloads (also described above) propagating the information of BTCs transferred between WNs not directly neighbors.
  • FIGS 16 to 19 show the example of Figures 9 to 15 but with the difference that in Figures 16 to 19, the transaction Tx7 is generated (by WN3) after transaction Txl3 is endorsed (generated by WNl).
  • the same method could have been described in the example shown in Figures 9 to 15, but considering that Tx7 is not broadcast before Txl3 is endorsed.
  • Tx9 5 BTC
  • Tx12 4 BTC
  • Txl3 9 BTC, from WN1 to WN2
  • Tx6 9 BTC, from WN2 to WN3
  • Tx19 9 BTC
  • Figure 17 shows Figure 13 but without Tx7 and the following ones being generated.
  • Figure 18 shows the transaction Txl9 (9 BTC from WNl to WN3) which replaces the transactions Txl3 (9 BTC from WNl to WN2) and Tx6 (9 BTC from WN2 to WN3, taking 10 BTC from Tx4 and keeping one exchange of 1 BTC) shown in Figure 17.
  • Txl9 (9 BTC from WNl to WN3
  • Tx6 9 BTC from WN2 to WN3
  • this method can also be applied to simplify inter-WN transaction paths in a network of more than three WN (without limitation of this number).
  • transactions may be replaced to include transaction fee payments when they are broadcast.
  • the units of account referred to (BTC) are advantageously implemented as tags and said Bitcoin transactions are tag transfer transactions whose UAs are BTCs (as described above).
  • SoCs WN mixed network and Enclaves WN As a reminder, the PCT application No. WO2016 / 120826 A2 describes a system-on-chip (SoC WN) in which, in response to the reception of a message by a device comprising a processor, a first program (here called "WNRoT As "Wallet Node Root of Trust"), composed of non-modifiable instructions, loads in this system-on-chip executable code whose hash corresponds to a given hash included in said received message. The following execution of this executable code in said device is thus predetermined with respect to this received message. Such correspondence is guaranteed to the extent that appropriate access restrictions between the different parts of said system-on-a-chip exist and can not be altered.
  • a first program here called "WNRoT As "Wallet Node Root of Trust”
  • the executable code thus imposed by the sender of the message is arbitrary and able to update state variables (for some, only the executable code possessing them being able to modify them) and generate other messages that are going to them. - even spread the same hash code to other such devices.
  • Figure 7 of this PCT application shows a payment of 10 units of account (UA) from a "WN 1" node to a "WN 2" node, the same Wallet Program, executed separately on each of these two nodes. - with different input messages and on different state persistent variables, in this case these variables are UA balances - subtracting 10 AU from the balance ("balance") of WN 1 and adding 10 AU to WN 2 balance, a WM indicating this payment having been sent from WN 1 to WN 2.
  • This guarantee is due to the fact that (i) the receiving device of a message reacts according to the smart contract that this message imposes and (ii) that this message has itself been generated in the context of exactly the same smart contract in the measurement where it was produced by the same executable code.
  • This device is implemented in a system-on-chip provided with a secret private key (accessible exclusively by a signature subsystem "Sign", see Figure 5 of this PCT application) and adapted:
  • CM MU another embodiment of a WN SoC, in which essentially the functions specific to WN (corresponding to the functionalities of the parts Check / Load, Sign, etc.) were encapsulated in a unit called "Cryptography Memory Management Unit".
  • enclave a method for cooperating together SoC WN type entities and secure unit type entities here called “enclave” incorporating the principles of WN above, including the principle that at each node the WP programs are encrypted and accesses these encrypted programs securely on the basis of hashes of these programs (#WP) contained in the incoming messages (WM).
  • enclave is taken in the general sense “TEE” (Trusted Execution Environment) and is not restricted to enclaves SGX Intel processors.
  • enclave can therefore indifferently designate either the enclave itself, or the secure environment capable of generating such an enclave.
  • a WM may be sent by a WN on-chip system or an enclave and received by a WN on-chip system or an enclave.
  • a WM may be sent by a WN on-chip system or an enclave and received by a WN on-chip system or an enclave.
  • any message from a SoC WN has the following form: message: noncel, PK 2data ..., nuncio, PKI, SignsKi (noncel, PK ⁇ data .. ., nuncio), signsi ((PKl) where
  • SK2 / PK2 is the private / public key pair of the message recipient
  • SK is the private key of the trusted authority representing or approving the manufacturer, certifying the issuer's PKI public key
  • remote attestation the enclave is able to provide a certificate of authenticity and of integrity of execution of a program that it executes (in particular of said first program WNRoT or of the executed Wallet Program);
  • said first program composed of non-modifiable instructions loaded first in the enclave - such as WNRoT in the case of the WN protocol - can be selected from among a plurality of first programs (corresponding to the protocol used).
  • first programs corresponding to the protocol used.
  • the protocol (WN protocol) for communication between wallet nodes, for a WM to be sent from a node WN1 to a node WN2, where WN2 is an enclave (of which WN1 has verified the certificate), comprises the following steps:
  • WN1 announces to WN2 by a pre-message the existence of a WM to send to him;
  • WN2 generates a certificate (of program authenticity and integrity of its current execution) for WNRoT, returns it to WN1;
  • WN1 checks the received certificate and (in case of successful verification) sends WM to WN2.
  • the enclave guarantees the authenticity and the integrity of WNRoT, that is to say that we are assured that the enclave behaves like a WN.
  • step 2 WN2 generates a nonce (newly generated random number which is not used only once) and sends it in addition to the attestation, and in step 3, WN1 digit with this Nonce received the contents of the WM that it sends to WN2. More precisely, the steps then include the following: 1. WN1 announces to WN2 by a pre-message the existence of a WM to send to it;
  • WN2 generates an attestation (of authenticity of the program and integrity of its current execution) for WNRoT, as well as a Nuncio, and returns to WN1 the certificate and the Nuncio;
  • WN1 verifies the received certificate, encrypts with the received Nuncio the contents of the WM and sends it to WN2.
  • the WM sent in step 3 includes the #WP hash (as described above in the WM presentation), and WN2 can then:
  • step 1 WN1 sends #WP and, in step 2, WN2 loads WP (thus exploiting the waiting time of the WM to be received in step 3). More specifically, the steps then include the following:
  • WN1 transmits #WP to WN2;
  • WN2 generates a certificate for WNRoT (and a Nuncio), returns to WN1 the attestation (and the
  • WN1 verifies the received attestation, then (numbers with the received Nonce the contents of the WM and) sends the WM to WN2;
  • WN2 decrypts the data contained in WM and) executes WP on the (decrypted) data of the WM.
  • WN1 is an enclave - i.e. the certificate of the PKI key of the sender of a received message (ie the signature signs K (PKl) of the trusted authority, which can be included in the message received or otherwise accessible) indicates that WN1 is an enclave - after having verified this certificate
  • WN2 verifies that the message received in step 1 or 3 includes (in ⁇ PK2data %) an attestation of the authenticity of the executed program and the integrity of this execution.
  • the WM can directly be of the form below: message: noncel, ⁇ PK2data + # WP, nonce2, PKI, SignsKi (noncel, ⁇ PK2data + #WP, nonce2), signsK (PKl) which, compared to the protocol for sending a WM to an enclave, has the advantage of a single step instead of three, as well as a reduced vulnerability area.
  • an enclave is able to dynamically (re) generate derived keys "SKd.PKd" (private / public, the private key being accessible only by the enclave) to from a key secret key and the #WP hash of a given WP program
  • SKd.PKd private / public, the private key being accessible only by the enclave
  • the data or payload of a WM message other than #WP is encrypted using the secret derived key SKd and can only be decrypted by a specialized (initialized) enclave for the given WP.
  • encryption with PK2 is here replaced by encryption with PKd2, except for #WP which remains encrypted with PK2.
  • the recipient WN can at least first decrypt #WP with its private key SK2, derive a pair of keys SKd2, PKd2 if it is not already done, and communicate PKd2 to the issuer if he does not already have it.
  • the exchange is done in a single message in the case where the issuer knows PKd2, and with an additional interaction to communicate PKd2 to the issuer otherwise.
  • the WN protocol (detailed below) provides for the sending by WN2 to WN1 of a certificate of execution and integrity of WNRoT (this is a condition automatically required by WN1) before WN1 transmits the data content of the message to WN2.
  • the approach is as follows: when receiving a message (WM1) including #WP, the enclave returns the attestation for WNRot and waits for a complementary message (WM2) to know data, and load (via a "Program Hash Table" hash, a WP program corresponding to #WP and then executes it as soon as possible on data; finally, advantageously a random encryption key can be sent from WN2 to WN1 to enhance security because WN1 encrypts data with this key.
  • the invention takes advantage of the fact that the enclaves imply a protocol in two stages (because WN1 must check WNRoT before communicating the data content of the message) and that the derived keys also require a protocol in two stages (because the enclave must prior to being dynamically reconfigured based on an incoming message including a #WP], and combines these two respective times in the following four steps: 1. WN1 transmits #WP to WN2 (in a WM 1 message):
  • WN2 generates a certificate for WNRoT (and optionally a Nuncio, not shown ci - below), returns to WN1 the certificate and the derived key PKd2 (as well as if necessary the said Nuncio) and load WP:
  • WN1 verifies the received certificate, then sends a message (WM2) to WN2 (after having, if necessary, encrypted with the received Nonce the contents of this message);
  • WN2 decrypts the data contained in ⁇ PKd 2Data WM2 with SKd2 (and optionally said
  • step 2 the key pair SKd2, PKd2 is (re) dynamically derived (upon receipt of #WP from WN1 in step 1) and it is then possible to avoid use the main SK key of the enclave.
  • the "hard WN” can be constituted either by SoCs or by enclaves.
  • an initial OWN assigns a new tag to a randomly generated tag number and since no other initial OWN will ever give that same number to another tag, the tag numbers are unique.
  • the initial OWN is associated with the manufacturer of the chair
  • the initial OWN associates with the tag number the serial number of the chair.
  • the tag can advantageously be materialized by an RFID tag (glued under the chair) in which are stored for example the tag number, the associated serial number, and an identifier of the initial OWN (and subsequently an identifier current OWN).
  • the tag could alternatively be materialized by a paper label where the same information is written, or the tag may not be materialized specifically but be identifiable by the serial number marked under the chair; indeed it is not necessary to materialize the tag since the data of a tag are transmitted from one OWN to the next.
  • a WN capable of interacting, via one or more sensors and / or one or more actuators, with the physical world of outside the object in question.
  • a WN is called “Body SoC” or "BS” - in fact, the WN in question is “hosted” by said Body SoC (or a “Body Enclave"), as described below, but for the sake of simplicity we consider here the particular case where a BS hosts only one WN and, and by misuse of language in this chapter, we amalgamate these two distinct entities that are the Body SoC (which is a hardware and software entity] and the WN (which is a software entity).
  • the manufacturer generates a serial number, obviously engraved on the lock and practically unalterable, and associates it with the tag number (generated by its initial OWN representing the manufacturer).
  • the manufacturer will advantageously associate with this lock a BS, which will be buried permanently in the lock and connected with a state sensor capable of providing the current state of the lock (here "open” or “closed” In a basic embodiment), as well as with an actuator such as an electric contactor supplying an electromagnet, for selectively locking or unlocking the door.
  • a state sensor capable of providing the current state of the lock (here "open” or “closed” In a basic embodiment)
  • an actuator such as an electric contactor supplying an electromagnet, for selectively locking or unlocking the door.
  • the BS of the lock is able to transmit (by a WM) the current state of the lock to its OWN (typically associated with the housing manager), and the latter can, with the aid of a WM sent to the BS, act on the electric switch to change this state (ie open or close the door).
  • OWN typically associated with the housing manager
  • the control of the BS is transferred (by a tag transfer transaction - see above) from the manager's OWN to the tenant's OWN, then automatically retransferred ( by a reverse transaction) to the manager's OWN at the end of the lease.
  • the manager's OWN will be able to check during a procedure proposed to the manager (for example by an automatic means of reading / character recognition) that the serial number of the lock object in the BS associated with this lock corresponds to the Serial number engraved on the lock.
  • An object of a BS is to provide the concerned OWNs with a current state of the associated object so as to be able to rely on it, and to act reliably on that object.
  • a BS as described here is physically distinct from a sensor and / or actuator module (or a module of several sensors and / or actuators), and communication means. secured are provided between the two.
  • FIG. 24 there is shown the architecture of a SoC associated with a sensor module / actuator SAM (for "Sensor / Actuator Module”).
  • connection between the BS and the SAM is done using a dedicated wireless link.
  • this channel is provided with means making it possible to detect the rupture or the alteration of the communication between the WN and the detector (s) or sensors, which can reveal that the sensor (s) have been defrauded, replaced, altered, etc.
  • the sensors can be of any kind: able to perform a physical and / or chemical measurement, able to reveal a binary state of an element of the physical world (open / closed, etc.).
  • the dedicated wireless link can incorporate on BS side and SAM side a communication management unit (CMU) associated with a wireless communication element (WCE for "Wireless Communications Element”).
  • CMU communication management unit
  • WCE wireless communication element
  • the security of the connection between the BS and the circuit of the sensor (s) can comprise several aspects.
  • the securing of the physical layer can be implemented by determining at the BS the static or dynamic impedance characteristics of the sensor / actuator circuit.
  • the impedance characteristics of the circuit materialized for example by the waveform obtained by applying an electric pulse, are stored at the first connection, and checked regularly. A modification of the response implies that the circuit has been moved, altered or even replaced.
  • time-domain the time domain
  • frequency-domain the frequency domain
  • This securing can be performed according to different approaches depending on whether the sensor / actuator circuit has or not a processing means.
  • the values (generally analog) provided by the sensor (s) may be subject to a likelihood test (range of possible values), or the control signals sent by the BS to an actuator may be taken advantage of (in a similar way to the physical layer test) to check the characteristic impedance of the circuit.
  • the exchanges for example by periodically or continuously transmitting from the BS a signal to this circuit and verifying whether the response is in accordance with an expected response.
  • the detection of an alteration can be a detection of a substitution, a displacement or a change in the operating conditions of the sensor and / or detector module, for example by a variation of the expected signal, in the communication between the WN and the circuit of the one or more sensors or detectors.
  • association between a BS and a SAM is done by an initial procedure of matching between the BS and the SAM, then a procedure of verification of the persistence of the association is realized.
  • the CMU communication management unit provided in the BS causes sending to the SAM, via the associated WCE element, either automatically or as part of the execution of a WP. including a pairing function, a pairing signal, and the response after specific processing of this signal by the SAM is stored. It can be a response containing a unique ID of the SAM, and / or an ID resulting from the transformation of an ID sent by the BS, an ID derived from a non-clonable function PUF (see above). ), etc.
  • the persistence of the association between the BS and the module can be implemented for example by periodically sending the BS to the module, via the CMU unit and the WCE element, a signal encoding a determined information (periodicity largely variable depending on the application, which can range for example from microseconds to the day) and by checking a response received (which can advantageously include a variable component so as to avoid listening fraud).
  • the signals delivered by the SAM sensor (s) and transmitted to the BS, and / or the control signals generated within the BS and transmitted to the SAM can be transmitted from an element to the other by an appropriate protocol, which can implement any appropriate security solution (encryption or encryption of data, addressing mechanism allowing in particular to deal with the case where the same BS has links with several SAM modules, etc.). .
  • this same transmission can be used to verify that the SAM occupies a fixed position with respect to the BS (for example by a process of "distance bounding" using the travel times).
  • the processing related to the pairing, the persistence of the link and the data transfer can be implemented either in a dedicated processor belonging to the CMU unit, or in another way of processing the data.
  • BS the processing related to the pairing, the persistence of the link and the data transfer can be implemented either in a dedicated processor belonging to the CMU unit, or in another way of processing the data.
  • the data coming from the sensor (s) of a SAM is stored in a memory of Sens / Act state variables shared by the different WPs and managed by an appropriate memory management unit, associated or not with the CMMU ( here associated with the CMMU and designated by CMMU-S / A).
  • the CMU units can take very different forms.
  • the BS side CMU may comprise a simple circuit in analog electronics, providing a logic signal indicative of whether the link has been altered from that established at the first connection.
  • the CMU on the BS side and on the circuit side may comprise dedicated microcontrollers in connection with control circuits of the wireless link (modulation, amplification, antenna or other transmitter, etc.). ).
  • a standard protocol is implemented so that different types of SAMs that meet this standard can be connected to a single BS.
  • a BS can communicate, via the same WCE element or several WCEs, with several SAMs each having their function.
  • the wireless transmission / reception part of a SAM is physically integrated securely (embedded in resin, etc.) with the physical function to be fulfilled (sensor, actuator) so as to limit the risk of fraud at the level of physical world.
  • the wireless communication between the BS and the SAM can be implemented by any of the known technologies, including capacitive magnetic, electromagnetic (including optical), acoustic (ultrasound), etc.
  • the WCE element will be a plate, coil or antenna, a source of electromagnetic radiation, a piezoelectric element or equivalent, etc.
  • the CMU will include the appropriate modulation and amplification circuits.
  • a SAM based on a commercially available sensor or actuator, to which is added an NFC tag (or other RFID tag).
  • the trade protocol with the NFC tag to achieve the pairing and persistence as described above.
  • a programmable NFC module is used with wired input input pins for the one or more sensors and the actuator (s).
  • the set is encapsulated, with a battery if necessary, to achieve physical integrity.
  • an important aspect of security is that the sensor / NFC tag assembly is not moved relative to the BS.
  • This security can be implemented in a particularly advantageous manner by analyzing one or more parameters of the time domain of the wireless transmission between the BS and the tag (duration of the pulses, delay of the pulses, amplitude of the wave component of the pulses, time decay of pulses, etc.).
  • This security can be further enhanced by analyzing one or more parameters of the frequency domain of the transmission (spectrum values).
  • Enclaves known as "body enclaves”, able to execute WPs and having access to input / output and memory means, such as the WN enclaves described above, but in addition to:
  • SAM sensors and actuators
  • the private / public key pair (SK / PK) of each WN hosted by an enclave body is generated (blindly, without revealing it) by the first body enclave which hosts it and, advantageously, transmitted to the body enclaves that host its countersignatories (also blindly, the private key SK remaining secret), this generation allowing hosted WNs to receive message payloads encrypted by means of their PK public keys (alternatively, a hosted WN can receive encrypted contents with a derived key - see further the method using a pair of derived keys "SKd, PKd").
  • WNl transmits #WP as well as the address of WN2 to a body enclave Body2 hosting WN2 message: noncel, ⁇ PKBod and 2WN2 + # WP, nonce2, PKI, SignsKi (noncel, ⁇ PKBod y2 WN2 + # WP, nonce2), sign SK (PKl)
  • Body2 generates the certificate with respect to the execution of WNRoT, returns to WNl this attestation, initializes for WN2 and loads WP;
  • WNl verifies the received certificate, then sends Body2 encrypted data content with the PK2 public key of WN2;
  • WN2 decrypts data and executes WP on data.
  • the encryption with PK2 is thus replaced by an encryption with PKd2, except for WN2 (and #WP) which remain encrypted with PK2.
  • the recipient WN can at least first decrypt WN2 (or WN2 + # WP) with its private key SK2, derive a pair of keys SKd2, PKd2 if it is not already done, and communicate PKd2 to the issuer if it does not already have it.
  • the exchange is done in a single message in the case where the issuer knows PKd2, and with an additional interaction to communicate PKd2 to the issuer otherwise.
  • the protocol provides for the sending by WN2 WN1 of a certificate of performance and integrity of WNRoT (this is a condition automatically required by WN1) before WN 1 transmits the data content of the message to WN2.
  • the approach is as follows: when receiving a message (WM 1) including WN2 [+ # WP], the enclave initializes for WN2, returns the attestation for WNRot and waits for a complementary message (WM2 ) to know data, and loads (via a "Program Hash Table" hash, PHT) a WP program corresponding to #WP and then executes it as soon as possible on data.
  • the invention takes advantage of the fact that the enclaves imply a two-step protocol (because WN1 must check WNRoT before communicating the data content of the message) and that the derived keys also require a two-step protocol, because the body enclave must prior to being reconfigured according to an incoming message comprising a WN2 [+ # WP), and combines these two respective times in the following four steps:
  • WN1 passes WN2 + # WP to Body2 (in a WM1 message) message: noncel, ⁇ PKBod y 2WN2 + # WP, nonce2, PK1, SignsKi (noncel, ⁇ PKBod y 2WN2 + # WP, nonce2), signs K (PKl)
  • Body2 verifies the signatures, decrypts ⁇ PKB o d y2WN2 + # WP, finds PKd2 from WN2, generates a certificate for WNRoT, returns to WNl the certificate and the derived key PKd2, initializes WN2 and loads WP:
  • WNl checks the signatures and the received certificate, then sends a message (WM2) to WN2 transmitting data:
  • WN2 decrypts the data ⁇ PKd 2d ta contained in WM2 with SKd2 and executes WP on the decrypted data data.
  • step 2 the key pair SKd2, PKd2 is (re) dynamically derived [upon receipt of WN2 [+ # WP] from WN1 in step 1) and can then avoid using the main SK key of the enclave.
  • body SoC are dedicated (to WN processing, with tags and sensors): they are not general-purpose.
  • CMMU - Crypto Memory Management Unit The "CMMU - Crypto Memory Management Unit” section describes the CMMU.
  • the CMMU upon receipt of a message for a given WN (specified in the message - see above the description of the messages transmitting ⁇ PKB o d y2WN2 + # WP), the CMMU initializes with respect to the NSV and tags to the recipient WNs, as well as to the PSVs for the #WP indicated in the message.
  • Figure 22 shows schematically the interactions between the different parts (PROCESSOR, CMMU, MEMORY) of the system:
  • CMMU receiving a message containing input data of a program to be executed as well as the address of the recipient WN and the hash of said program
  • CMMU locates in the table PHT, from said hash, said encrypted program, loads it into its cache and decrypts it (block by block); Also, the CMMU initializes against the data that can be accessed in MEMORY (ie: NSV, Tags, PSV, etc.);
  • CMMU transmits on the fly the (one block at a time) decrypted program to PROCESSOR for execution;
  • PROCESSOR requires access to these data already created or creates / updates them and asks to store them, or removes them, and
  • CMMU accesses and decrypts / encrypts and stores said data
  • PROCESSOR prepares a message to be issued
  • CMMU inserts the hash of said executing program and its signature by means of the secret key and sends the message.
  • the CMMU of a body SoC is able to receive emitted WMs
  • the body CMMU body SoC is advantageously able to check the required intersections of sets of mirror nodes described above.
  • the CMMU manages the data from the sensor (s) of a SAM, which data can be shared by different WNs and different WPs of a WN.
  • the figure below shows schematically a hard WN [Body Enclave or SoC] and highlights the fact that it manages its data of sensors / actuators independently, this data being shared by the various real WN hosted [and these data being transmitted to his mirrors].
  • securing a network of nodes capable of executing WP programs in response to receiving WM messages advantageously comprises the following two architectures in combination:
  • the WPs are encrypted and the node in question (respectively its CMMU or its WNRoT root program) accesses these encrypted programs on the basis of hashes of these programs (#WP), contents in incoming messages,
  • an architecture for determining countersigning nodes (body SoC or enclave), for duplicating messages from / to the countersigning nodes, and for determining the identical character of the messages received.
  • the nodes being able to affect for each other different connection weights, at each node:
  • connection weight values are assigned to the node in question, on the basis of the connection weight values, at least one countersignatory node having a connection weight greater than a threshold with respect to it,
  • this message is sent (redundantly) by at least some of the sending node's mirror nodes to at least some of the mirror nodes of the destination node, and the destination node does not validate the message that only if:
  • the respective sets of mirror nodes of the sending and receiving nodes have an intersection whose number of elements is greater than a given threshold and if
  • the destination node has received the same message (in redundancy) from at least a given fraction of said mirror nodes belonging to this intersection.
  • the destination node when the message in question has a tag (value unit) transfer transaction the destination node only validates the message (as described below) only if the respective sets of mirror nodes of at least some guardWNs of the tags in question and the destination node have an intersection whose number of elements (being Body SoC or enclave) is greater than a given threshold.
  • guardWN The method for securing body SoC nodes and body enclaves by guardWN will now be described.
  • GuardWN, GuardTx and GuardedTx The method for securing body SoC nodes and body enclaves by guardWN will now be described.
  • This aspect of the invention is that for a transaction (tag transfer transaction such as BTCs) transmitted in a WM message to a recipient WN node, it is sufficient that some leaves of the upstream tree of that transaction ( uptree) have a number of mirror nodes in common with said recipient WN node for the latter to accept this WM.
  • Value tag Data (such as a certain amount of BTC) representing a certain amount of units of account of a certain type.
  • a tag is associated with an "uptree”.
  • Transaction or "tx”: Transfer of tags from at least one upstream WN to at least one downstream WN (except for "tx generation” which are created ex nihilo and have no upstream).
  • the input tags come from tx upstream (except for tx generation) and the output tags are intended for beneficiary WNs (or other types of signers), which can in particular be multi-signature ("n-of-m multisig
  • a tx has tags associated with its input and output, respectively, the total of the tags associated with the inputs being equal to the total of the tags associated with the outputs (except for generation).
  • each input refers to one and only one output of an upstream tx.
  • Uptree (or "upstream tree”, or “provenance tree”): Set (structured in tree) composed of a given given tx and tx feeding it; tree whose root node is said given tx data and in which, for each node of the tree, tx upstream of a node (that is to say the tx whose outputs feed the inputs of this node) are his child nodes.
  • the leaves (upstream transactions) of an uptree are called "guardTx”.
  • Dtree (or "downstream tree”, or “distribution tree”): Set (structured in tree) composed of a given tx considered and tx fed by the latter; tree whose root node is said given tx data and in which, for each node of the tree, the tx avals of a node (that is to say the tx whose inputs are fed by the outputs of this node ) are his child nodes.
  • GuardTx (or "incoming tx"): Tx fed by a tx considered (by its beneficiary and by the beneficiaries downstream) as being inserted / confirmed in a blockchain or generated ex-nihilo (generation tx).
  • the WN generating a guardTx is called “guardWN”.
  • the dtree of a guardTx is composed of tx called “guardedTx”.
  • GuardWN WN having generated a guardTx considered (of which each tx of the dtree, including the guardTx itself, have it as a signatory associated with all the outputs - hence the name of "guardedTx" given to them). It is said that the guardWN "keeps” a guardTx and the guardedTx of the guardTx of this guardTx.
  • Tx guarded by a given guardWN Tx whose given guardWN is a signer on all outputs.
  • GuardedTx Tx of which:
  • At least one of the signers (on an input) is a guardWN;
  • o is a multisig of which one of the signatories is said guardWN
  • guardWN guaranteeing that the tx downstream (which are powered by these outputs) are also guardedTx guarded by said guardWN.
  • the WN receiving a WM transmitting a given tx accepts it directly only if it has mirror nodes (body SoC or enclaves) in common with the guardWN keeping this tx. Otherwise the recipient WN has the option of causing the uptree tx to be inserted into the blockchain (after their replacements for simplification and transaction fee additions, as described above) or to use a payment channel ( on a protocol such as Lightning Network).
  • Figure 26 illustrates a simplified example with an uptree tree of five transactions tx1 through tx5, and the existence of a mirror (WNx) in common between a GuardWN - WN2 - having generated the transaction tx2 and the WN - WN5 - generating the most downstream transaction tx5.
  • WN5 can accept tx4 because it has a number (depending on configuration parameters) of WNx mirrors (Body SoC or enclave) in common with the GuardWNs WN1, WN2, and WN3 (or with only some of these, to the extent of the additions of collateral signatories made, see the description below).
  • Figure 27 shows transactions txl, tx2, tx3 and tx4 which are respectively generated by WN "1", “2", “3” and "4".
  • txl and tx2 are guardWN.
  • the figures on their outputs represent the WN whose respective signatures are required on the inputs that these outputs supply.
  • the first output of Txl requires a signature of the WN 3 as well as the signature of the guardWN 1, and so on.
  • tx3 and tx4 as guardedTx, must reproduce on their respective outputs the fact of requiring the signatures 1 and 2 on the inputs of the subsequent transactions that they feed.
  • the required signatures of guardWN propagate step by step downstream - for example, tx3 requires that tx4 be signed by guardWNs 1 and 2, and these (and their "hard WN" mirrors, in redundancy for more reliability) will sign tx4 only if this requirement is reproped to subsequent transactions, and so on step by step. All dtree from each guardWN is thus secure.
  • guardedTx when generating a guardedTx whose inputs are fed by upstream txes guarded by different guardWNs, all outputs of this guardedTx are generated as multisigs whose signers include these different guardWN (WN collaterals).
  • guardWN 1 and 2 are (by definition) collateral because they feed the same transaction (tx3).
  • Figure 28 shows the result of applying the process (adding collateral signers by replacing the upstream transactions in question) for the example in the previous figure.
  • the signature of guardWN 2 in bold
  • the signature of GuardWN 1 is now also required on the input powered by tx2.
  • Figure 29 schematically shows nodes exchanging units of accounts by transactions without mandatory broadcast via inter-node payment channels, each node having one channel (Ch (i, j)) with another node having a ceiling (C (i, j)) units of account transferable by this channel without requiring broadcast.
  • a transfer of units of account between two nodes can be performed via a chain of nodes having two by two a payment channel.
  • the nodes have connection weights (W (i, j)) vis-à-vis other nodes, representative of a degree of confidence or proximity between the nodes or users associated with the nodes.
  • the ceilings of units of account of a given node on a given channel are here adjusted (increased) according to a connection weight of said node vis-à-vis the node with which he possesses said given channel.
  • the weight of one node vis-à-vis another node is typically determined by the existence of real connections (IRL Connections) or almost real in the entourage of the latter.

Abstract

Un procédé pour l'exécution sécurisée de programmes (smart contract) est mis en œuvre entre un premier « wallet node » (WN) (WN1) et un second WN (WN2), au moins le second WN étant mis en œuvre dans une enclave d'un processeur, et les WN étant aptes à exécuter des programmes désignés dans des messages qui leur parviennent, le procédé comprenant les étapes suivantes : a) envoi par WN1 à WN2 d'un pré-message, b1) en réponse à ce pré-message, exécution dans l'enclave d'un premier programme (WNRoT), b2) génération par l'enclave d'une attestation de l'authenticité dudit premier programme et de l'intégrité de son exécution, b3) envoi de ladite attestation à WN1, c) vérification par WN1 de ladite attestation, d) en cas de vérification réussie, envoi par WN1 à WN2 d'un message destiné à provoquer l'exécution d'un programme donné dans WN2, et e) exécution dudit programme dans WN2.

Description

Titre
« Procédés et systèmes pour l'exécution de programmes dans des environnements sécurisés » Domaine de l'invention
La présente invention concerne des procédés et systèmes utiles dans une architecture de nœuds en réseau, en général décentralisée, susceptible de réaliser des transactions entre eux sur la base de messages.
Arrière-plan de l'invention et résumé de l'invention
On notera ici que certaines parties de la description qui suit sont en langue anglaise, leur traduction fidèle en français étant à considérer comme faisant partie également de la description.
Par ailleurs, on se référera à la demande WO2016120826A2 au nom du demandeur, dont le contenu est incorporé ici par référence.
On connaît déjà le modèle de confiance décentralisé de PGP (Web-of-Trust, 1992] permettant à des pairs d'agir en tant qu'introducteurs et validateurs de clés publiques et proposant une métrique de validation décentralisée d'une identité numérique, qui se focalisa sur les adresses emails des pairs en question. Depuis, d'autres approches ont été proposées pour établir l'identité sans l'autorité de certification (telles que par Cari Ellison en 1996). Par ailleurs, on connaît des procédés utilisant une approche « out-of-band channel » et nécessitant d'utiliser un terminal fiable pour réaliser un échange de clés publiques de manière sûre en présence du risque de « Man-in-the-Middle (MitM) attack », notamment le procédé SafeSlinger
[http://www.netsec.ethz.ch/publications/papers/farb_safeslinger_mobicom2013.pdf]
conçu pour optimiser le cas où chacun des utilisateurs d'un groupe, tel que dans un « key signing party », réalise un échange de clés avec tous les autres.
L'invention vise tout d'abord à permettre une identification décentralisée à la fois plus simples et d'un usage plus large, et répondant directement aux besoins de mise en œuvre d'engagements exécutables, de type « smart contracts » [https://en.wikipedia.org/wiki/Smart contract], aujourd'hui mis en œuvre sur des protocoles de consensus, notamment dans un environnement sans permission (« permissionless ») où n'importe qui peut se joindre et quitter dynamiquement, et où il n'y a aucune connaissance a priori des nœuds de consensus, en s'appuyant en général sur des puzzles informatiques [Dwork & Naor, 1992 : http://www.hashcash.org/papers/pyp.pdf ; Back, 2002 : http://www.hashcash.org/papers/hashcash.pdf] pour contrer les « sybil attacks » et avec l'hypothèse qu'une majorité de la puissance de calcul est détenue par des participants honnêtes [Nakamoto, 2008: https://bitcoin.org/bitcoin.pdf]. L'état de la technique en matière de smart contracts est principalement représenté par le système Ethereum
[https://github.com/ethereum/wiki/wiki/White-Paper].
On ne connaît pas de mise en œuvre de « smart contracts » (sans tiers de confiance) dont la sécurité soit basée sur du matériel (« hardware ») de fabricants de confiance.
Les nouvelles architectures de processeurs tels que les processeurs ARM ou les processeurs les plus récents de la société Intel permettent d'utiliser des « trusted exécution environments » (TEE), tels que les enclaves SGX des processeurs Intel. Toutefois ces enclaves sont actuellement proposées seulement pour des protocoles plus légers basés sur la Blockchain. Par exemple, le protocole PoET proposé par Intel continue à se fonder sur une Blockchain. Un aspect de l'invention est de permettre d'utiliser des tels environnements sécurisés pour s'affranchir de la Blockchain ou la rendre facultative. L'invention vise plus précisément une mise en œuvre sur du hardware qui soit à la portée d'un grand nombre de fabricants, afin d'atteindre une décentralisation même au niveau des fabricants eux-mêmes, et vise en outre à proposer des mécanismes d'identification décentralisée qui permettent de mitiger les sybil attacks (lorsqu'un adversaire engendre un nombre quelconque de nouveaux nœuds qu'il contrôle dans le réseau).
Un autre aspect de l'invention est de pouvoir faire coopérer ensemble des entités de type wallet node et des entités de type unité sécurisée (TEE), notamment des enclaves de types SGX de processeurs Intel (dans la suite, le terme « enclave » désignera une telle enclave ou largement tout environnement TEE).
Grâce au hardware, l'invention vise non seulement des avantages de rapidité (le consensus par blockchain est lent) et de coût (transaction fees), mais même des avantages qualitatifs qui sont exposés plus loin. L'approche blockchain implique par nature une structure de données centralisée mais répliquée à grande échelle. La décentralisation réelle que propose l'invention élimine le besoin de « scaling » qui constitue le challenge le plus prioritaire de Bitcoin et Ethereum aujourd'hui.
On propose selon un premier aspect un procédé pour l'exécution sécurisée de programmes (smart contract) mis en œuvre entre un premier WN (WN1) et un second WN (WN2), au moins le second WN étant mis en œuvre dans une enclave d'un processeur, et les WN étant aptes à exécuter des programmes désignés dans des messages qui leur parviennent, le procédé comprenant les étapes suivantes :
a) envoi par WN1 à WN2 d'un pré-message,
bl) en réponse à ce pré-message, exécution dans l'enclave d'un premier programme (WNRoT), b2) génération par l'enclave d'une attestation de l'authenticité dudit premier programme et de l'intégrité de son exécution,
b3) envoi de ladite attestation à WN1,
c) vérification par WN1 de ladite attestation,
d) en cas de vérification réussie, envoi par WN1 à WN2 d'un message destiné à provoquer l'exécution d'un programme donné dans WN2, et
e) exécution dudit programme dans WN2.
Des aspects préférés mais facultatifs sont les suivants :
* l'étape b2) comprend également la génération d'un nonce, l'étape b3) comprend également l'envoi dudit nonce à WN1, et le procédé comprend en outre avant l'étape d) une étape mise en œuvre au niveau de WN1 de chiffrement du message à envoyer avec le nonce, et avant l'étape e), une étape mise en œuvre au niveau de WN2 de décryptage dudit message chiffré.
* la désignation d'un programme à exécuter dans un WN s'effectue par un haché du contenu dudit programme.
* ledit pré-message contient une désignation dudit programme donné, en vue du pré-chargement dudit programme par WN2 dans une mémoire de travail.
* WN1 est également une enclave d'un processeur, et dans lequel à chaque réception d'un pré-message ou d'un message par WN2 en provenance de WN1, WN2 vérifie la présence dans ce pré-message ou message d'une attestation de l'authenticité et de l'intégrité d'exécution d'un programme exécuté dans WN1 et ayant provoqué l'envoi de ce pré-message ou message.
* le procédé comprend également :
- entre les étapes a) et c), une étape de génération par WN2 d'une paire de clés publique/privée dérivées à partir d'une clé secrète de WN2 et de la désignation dudit programme donné,
- avant l'étape d), une étape d'envoi de la clé dérivée publique à WN1,
- avant l'étape d), une étape de chiffrement d'une partie data dudit message avec ladite clé dérivée publique dans WN1, et
- après l'étape d), une étape de décryptage dans WN2 de ladite partie data avec la clé privée dérivée. * ladite paire de clés dérivées est générée également à partir d'information de désignation contenue dans le pré-message.
* l'étape d'envoi de la clé dérivée publique à WN1 est mise en œuvre lors de l'étape b3). Selon un deuxième aspect on propose un procédé pour l'exécution sécurisée de programmes transactionnels mis en œuvre entre un premier WN (WN1) et un second WN (WN2), WN1 et WN2 étant chacun soit une enclave d'un processeur, soit un SoC dédié, dans lequel les WN sont aptes à communiquer par messages transactionnels contenant une désignation du programme à exécuter dans le WN destinataire, et une paire de WN s'échangeant des messages transactionnels en exécutant tous deux un même programme dans des conditions sécurisées.
Selon un troisième aspect on propose un procédé pour sécuriser le fonctionnement d'un réseau de nœuds (WN) aptes à exécuter des programmes [WP] en réponse à la réception de messages (WM), les nœuds étant mis en œuvre par une enclave d'un processeur ou par un SoC et les nœuds étant susceptibles d'être liés entre eux sur la base des valeurs de poids de connexion, comprenant les étapes suivantes :
- affecter à chaque nœud au moins un nœud contresignataire ayant vis-à-vis de lui un poids de connexion,
- au niveau de chaque nœud, maintenir une liste de nœuds contresignataires de nœuds susceptibles de recevoir des messages à partir du nœud en question, chaque nœud et ses nœuds contresignataires formant un ensemble de nœuds miroirs,
- valider ou autoriser un message entre un nœud émetteur et un nœud récepteur en fonction de contraintes de cohérence au niveau des nœuds miroirs auxquels appartiennent le nœud émetteur et/ou le nœud récepteur.
Dans un autre domaine (sujet Lightning Network avec poids dans la suite), on propose selon un quatrième aspect un système transactionnel à architecture répartie en peer-to-peer, mettant en œuvre des transactions de transfert d'unités de compte entre nœuds émetteurs d'unités et nœuds receveurs d'unités, chaque transaction ayant en entrée un input se référant à un output d'une transaction précédente (ou plusieurs inputs se référant chacun à un output d'une transaction précédente) et ayant elle-même au moins un nouvel output spécifiant un nombre d'unités de compte et un nœud receveur, chaque transaction pouvant être validée en réponse à un broadcast, par insertion, dans une chaîne de blocs mémorisée de façon répartie entre au moins certains nœuds, d'au moins une signature de la transaction, au moins certains nœuds étant également aptes à s'échanger des unités de comptes par des transactions sans broadcast obligatoire via des canaux de paiement entre nœuds, chaque nœud disposant d'un canal (Ch(i,j)) avec un autre nœud possédant un plafond (C(i,j)) d'unités de compte transférables par ce canal sans nécessiter de broadcast, et un transfert d'unités de compte entre deux nœuds étant susceptible d'être effectué via une chaîne de nœuds ayant deux à deux un canal de paiement, caractérisé en ce que les nœuds possèdent des poids de connexion (W(i,j)) vis-à-vis d'autres nœuds, représentatifs d'un degré de confiance ou de proximité entre les nœuds ou des utilisateurs associés aux nœuds, et en ce qu'il comprend des moyens d'ajustement du plafond d'unités de compte d'un nœud donné sur un canal donné en fonction d'un poids de connexion dudit nœud vis-à-vis du nœud avec lequel il possède ledit canal donné. Des aspects préférés mais facultatifs sont les suivants :
* l'ajustement comprend une augmentation du plafond en relation avec le poids.
* le poids d'un nœud vis-à-vis d'un autre est déterminé en fonction de l'existence de connexions réelles (IRL Connections) ou quasi-réelles dans les entourages des deux nœuds. Selon un cinquième aspect (sujet Poids de fabricant dans la suite), on propose un système transactionnel à architecture répartie en peer-to-peer, pour exécuter des transactions sécurisées mettant en jeu des nœuds hardware (SoC ; enclave] susceptibles d'être fabriqués par des fabricants de façon décentralisée, chaque nœud ayant vis-à-vis d'un autre nœud un degré de confiance ou de proximité matérialisé notamment par un poids de connexion ou par un nombre de nœuds miroirs en commun entre les deux nœuds,
caractérisé en ce qu'il comprend des moyens pour affecter à chaque fabricant un poids de fabricant, et pour ajuster le degré de confiance d'un nœud hardware vis-à-vis d'un autre nœud (pas nécessairement hardware] en fonction du poids de fabricant du fabricant de ce nœud hardware.
Des aspects préférés mais facultatifs sont les suivants :
le poids de fabricant est lié au nombre de nœuds hardware fabriqués par le fabricant en question.
le poids de fabricant est lié au nombre de nœuds hardware actifs dans le système et fabriqués par le fabricant en question.
• le système comprend des moyens pour déterminer l'activité d'un nœud hardware en fonction de l'existence de transactions mettant en jeu ledit nœud.
• le système comprend des moyens pour déterminer l'activité d'un nœud hardware en fonction de l'existence d'interactions avec d'autres nœuds et de valeurs de poids de connexion des nœuds intervenant dans ces interactions.
Selon un sixième aspect (sujet Body SoC et Body Enclave ci-après), on propose un processeur sécurisé (SoC ; enclave), caractérisé en ce qu'il est apte à héberger une pluralité de nœuds WN d'un réseau, et en ce qu'il comprend une unité de gestion cryptographique de mémoire avec chiffrement (CMMU) apte à assurer une exécution sécurisée de programmes, dans lequel :
• dans l'unité CMMU est mémorisée (ou dynamiquement régénérée) de façon inaccessible autrement que par l'unité CMMU une clé secrète de chiffrement de programmes,
• l'unité CMMU est apte à mémoriser au moins un programme à exécuter après chiffrement par l'unité CMMU à l'aide de ladite clé secrète et à générer un haché du ou de chaque programme permettant de retrouver le programme chiffré,
• ledit processeur n'est apte à exécuter des programmes que sur commande de l'unité CMMU,
• les interactions entre nœuds du réseau s'effectuent exclusivement par messages et les messages sont reçus/émis par l'unité CMMU exclusivement,
• les messages comprennent l'identification d'un WN destinataire hébergé dans le processeur et l'identification d'un certain programme à exécuter par le WN destinataire, identifié par son haché,
• en réponse à la réception d'un message :
le processeur s'initialise en tant que WN destinataire et l'unité CMMU (i) accède au programme chiffré à exécuter par ce WN à partir du haché du programme reçu dans le message (notamment via une table PHT), (ii) déchiffre les instructions du programme, et (iii) transmet au processeur pour exécuter les instructions déchiffrées sur lesdites données reçues,
le processeur mémorisant pour chaque WN hébergé une paire de clés destinées à la signature de contenus de messages générés par ledit WN à l'aide de la clé privée de ladite paire.
Des aspects préférés mais facultatifs sont les suivants :
* au moins un WN hébergé constitue un WN contresignataire d'un autre WN au sein d'un groupe de WN miroirs, la paire de clés de ce WN contresignataire étant identique aux paires de clés des autres WN dudit groupe.
• le processeur est apte à mémoriser des variables de processeur, des variables de WN et des variables de WP de façon séparée les unes des autres. * le processeur est associé à un module SAM, et en ce que les variables de processeur comprennent des données d'actionnement ou de capteur associées audit module, accessibles par au moins deux WN.
Selon un septième aspect (sujet Guard WN ci-après), on propose un système transactionnel à architecture répartie en peer-to-peer, mettant en uvre des transactions avec sécurité cryptographique de transfert d'unités de compte entre nœuds émetteurs d'unités et nœuds receveurs d'unités, chaque transaction ayant en entrée un input se référant à un output d'une transaction précédente (ou plusieurs inputs se référant chacun à un output d'une transaction précédente) et ayant elle-même au moins un nouvel output spécifiant un nombre d'unités de compte et un nœud receveur, chaque transaction pouvant être validée en réponse à un broadcast par insertion, dans une chaîne de blocs mémorisée de façon répartie entre au moins certains nœuds, d'au moins une signature de la transaction, au moins certains nœuds étant également aptes à s'échanger des unités de comptes par des transactions sans broadcast obligatoire, à chaque nœud pouvant être associée une information de degré de confiance ou proximité vis-à-vis d'un autre nœud, le système comprenant des moyens aptes, au sein d'une chaîne arborescente (uptree) de transactions n'ayant pas fait l'objet d'un broadcast, à déterminer si l'information de degré de confiance ou de proximité d'au moins un nœud, parmi les nœuds (GuardWN) ayant généré les transactions les plus amont dans ladite chaîne, vis-à-vis du nœud ayant reçu la transaction la plus aval dans la chaîne, satisfait un critère déterminé et, dans l'affirmative, accepter ladite transaction la plus aval.
Des aspects préférés mais facultatifs sont les suivants :
* l'information de degré de confiance ou de proximité comprend un nombre de nœuds miroirs en commun entre au moins un nœud, parmi les nœuds ayant généré les transactions les plus amont dans ladite chaîne, et le nœud ayant reçu la transaction la plus aval dans la chaîne.
* chaque nœud est prévu pour signer une transaction en tant que GuardWN seulement si les outputs de ladite transaction requièrent sa signature dans les transactions que ladite transaction alimentera, de telle sorte qu'un nœud GuardWN ayant généré une transaction la plus amont contrôle les transactions (évite le double spend) qui seront alimentées par la transaction la plus aval.
* chaque nœud est prévu pour signer une transaction en tant que GuardWN seulement si les outputs de ladite transaction requièrent sa signature dans les transactions que ladite transaction alimentera, de telle sorte qu'un nœud GuardWN ayant généré une transaction la plus amont contrôle (évite le double spend sur) toute la chaîne arborescente (dtree) des transactions aval à partir d'elle-même.
* la requête de signature par un nœud GuardWN est étendue à chaque nœud collatéral d'un autre nœud (ces deux nœuds étant des GuardWN signataires respectifs requis sur les outputs de deux transactions alimentant en commun une même transaction aval) dont la signature est requise.
On propose selon un autre aspect un système-sur-Puce susceptible de recevoir des messages pour exécuter des programmes dans des conditions d'exécution sécurisées, dans lequel est mémorisée une clé secrète (SK) constituant la clé privée d'une paire de clés publique/privée, comprenant :
- des moyens capables, lors de la réception d'un message à partir d'un autre système sur puce
(WN ou unité sécurisée (enclave) d'un processeur), de dériver une nouvelle paire de clés dites clés dérivées à partir de ladite clé secrète SK et d'une information contenue dans le message reçu, et d'envoyer la clé publique dérivée vers ledit autre WN ou enclave, et
- des moyens capables, lors de la réception, depuis ledit autre WN ou enclave, d'un message contenant la même information, de décrypter une autre partie dudit message avec ladite clé privée dérivée.
On propose selon un autre aspect un procédé exécuté dans une unité sécurisée (enclave) d'un processeur, comprenant, lors de la réception d'un message provenant soit d'un système-sur-puce, soit d'une unité sécurisée d'un autre processeur (autre enclave], les étapes d'exécution suivantes mises en œuvre sans quitter l'enclave :
- dériver une paire de clés dérivées à partir de la clé secrète SK de l'enclave et d'une information contenue dans ledit message,
- envoyer la clé publique dérivée audit WN ou autre enclave, et
- attendre la réception depuis ledit WN ou autre enclave d'un message complémentaire contenant la même information, et
- lors de la réception dudit message complémentaire, décrypter une autre partie dudit message avec la clé privée dérivée.
Des aspects préférés mais facultatifs sont les suivants :
* l'étape d'envoi comprend également l'envoi d'une attestation d'authenticité et d'intégrité d'exécution du programme couramment exécuté.
* le procédé comprend une étape additionnelle précédant l'étape d'envoi et consistant à générer une clé aléatoire, l'étape d'envoi comprenant l'envoi de cette clé aléatoire vers ledit WN ou autre enclave, et dans lequel l'étape de décryptage utilise ladite clé aléatoire.
On propose selon un autre aspect un procédé exécuté dans une unité sécurisée (enclave) d'un processeur, comprenant, lors de la réception d'un message provenant soit d'un système-sur-puce, soit d'une unité sécurisée d'un autre processeur (autre enclave], les étapes d'exécution suivantes mises en œuvre sans quitter l'enclave :
- générer une clé aléatoire,
- envoyer ladite clé aléatoire audit WN ou autre enclave, et
- attendre la réception depuis ledit WN ou autre enclave d'un message complémentaire contenant la même information, et
- lors de la réception dudit message complémentaire, décrypter une autre partie dudit message avec ladite clé aléatoire.
Des aspects préférés mais facultatifs sont les suivants :
* le procédé comprend, à la suite de la réception du message complémentaire et sans quitter l'enclave, une étape de chargement et d'exécution d'un programme correspondant à ladite information contenue dans le message et prenant comme entrée ladite autre partie décryptée.
* le procédé comprend en outre, lors de l'exécution du programme, la génération d'un message à destination d'un WN ou autre enclave, comprenant ladite information ainsi qu'une attestation de l'exécution dudit programme correspondant à ladite information. On propose selon un autre aspect un processeur comprenant une unité sécurisée (enclave], ladite enclave comprenant :
- une clé secrète,
- des moyens pour générer une clé secrète dérivée d'une combinaison de ladite clé secrète et d'une autre information,
- des moyens pour charger via une table de correspondance un programme correspondant à une information donnée et pour exécuter ledit programme,
caractérisé en ce que ladite enclave comprend en outre des moyens aptes :
- lors de la réception d'un message dont une partie est chiffrée et ne peut être décryptée qu'au moyen d'une telle clé dérivée,
- à activer lesdits moyens pour générer cette clé dérivée sur la base d'une dite autre information contenue dans le message reçu,
- à charger, sans quitter l'enclave, un programme correspondant à ladite autre information et à exécuter ledit programme sur des données d'entrée comprenant le message reçu, dont ladite partie chiffrée a été décryptée au moyen de la clé secrète dérivée. On propose selon un autre aspect un processeur comprenant une unité sécurisée (enclave], ladite enclave comprenant :
- une clé secrète,
- des moyens pour charger via une table de correspondance un programme correspondant à une information donnée et pour exécuter ledit programme,
caractérisé en ce que ladite enclave comprend des moyens aptes, lors de la réception à partir d'un WN ou d'une autre enclave d'un message comprenant une information donnée, à charger un premier programme et à l'exécuter de manière sécurisée, cette exécution comprenant les étapes suivantes : a] envoi à ce WN ou autre enclave d'une requête comprenant:
• une attestation signée par l'enclave avec sa clé secrète et attestant l'exécution en cours de ce premier programme,
• une clé aléatoire,
b) chargement via une table de correspondance d'un programme correspondant à ladite information, et attente de la réponse à la requête envoyée à l'étape a],
c) à réception de cette réponse, celle-ci comprenant au moins une partie (payload) chiffrée au moyen de ladite clé aléatoire, décrypter ladite partie chiffrée (payload), et
d) provoquer l'exécution du programme sur des données d'entrée comprenant la réponse reçue, après décryptage.
Des aspects préférés mais facultatifs sont les suivants :
* la requête envoyée à l'étape a) comprend en outre un identifiant dudit message reçu.
* la requête envoyée à l'étape a) est chiffrée avec la clé publique du WN ou autre enclave.
* l'exécution du programme comprend la génération d'un message à destination d'un WN ou autre enclave comprenant ladite information ainsi qu'une attestation de l'exécution dudit programme correspondant à ladite information.
* le message reçu à partir d'un WN ou d'une autre enclave comprend en outre une attestation de l'exécution par ce WN ou autre enclave dudit programme correspondant à ladite information.
* le message reçu à partir du WN ou autre enclave est reçu à l'état chiffré avec la clé publique de l'enclave du processeur et est décrypté avec sa clé secrète.
* l'enclave comprend en outre des moyens capables, lors de la réception de la part d'une autre enclave d'une requête comprenant une attestation attestant l'exécution en cours dudit premier programme (WNRoT) et d'une clé aléatoire, de générer et retourner un message comprenant au moins une partie chiffrée (payload] au moyen de ladite clé aléatoire.
On propose selon un autre aspect encore un processeur comprenant une unité sécurisée (enclave], ladite enclave comprenant :
- la clé secrète d'une paire de clés privée/publique principale,
- des moyens pour générer une paire de clés privée/publique dérivées à partir d'une combinaison de la clé secrète principale et d'une information, et
- des moyens pour charger, via une table de correspondance, un programme correspondant à une information donnée et pour l'exécuter,
caractérisé en ce que ladite enclave comprend des moyens aptes, lors de la réception à partir d'un WN ou d'une autre enclave d'un message comprenant une information donnée, à charger un premier programme et l'exécuter de manière sécurisée, cette exécution comprenant les étapes suivantes : a] utilisation (générer ou retrouver en mémoire) d'une paire de clés dérivées à partir de la clé secrète principale et ladite information donnée reçue,
b) envoi à ce WN ou autre enclave d'une requête comprenant : • une attestation signée par l'enclave avec sa clé secrète et attestant l'exécution en cours de ce premier programme,
• la clé publique de la paire de clés dérivées,
c) charger via une table de correspondance un programme correspondant à ladite information et attendre la réponse à la requête envoyée à l'étape b], et
d) lors de la réception de cette réponse, celle-ci comprenant au moins une partie (payload) chiffrée au moyen de la clé publique dérivée, décrypter cette partie chiffrée [payload) avec la clé secrète dérivée, et provoquer l'exécution du programme sur des données d'entrée comprenant la réponse reçue après décryptage.
Avantageusement mais facultativement, la requête envoyée à l'étape b) comprend en outre un identifiant dudit message reçu.
On propose selon un autre aspect un processeur comprenant une unité sécurisée (enclave], ladite enclave comprenant :
- la clé secrète d'une paire de clés privée/publique principale,
- des moyens pour générer une clé aléatoire,
- des moyens pour charger, via une table de correspondance, un programme correspondant à une information donnée et pour l'exécuter,
caractérisé en ce que ladite enclave comprend des moyens aptes, lors de la réception à partir d'un WN ou d'une autre enclave d'un message comprenant une information donnée, à charger un premier programme et l'exécuter de manière sécurisée, cette exécution comprenant les étapes suivantes : a] envoi à ce WN ou autre enclave d'une requête comprenant :
• une attestation signée par l'enclave avec sa clé secrète et attestant l'exécution en cours de ce premier programme,
• la clé aléatoire,
b] charger via une table de correspondance un programme correspondant à ladite information et attendre la réponse à la requête envoyée à l'étape a), et
c] lors de la réception de cette réponse (W 2), celle-ci comprenant au moins une partie (payload] chiffrée au moyen de la clé aléatoire, décrypter cette partie chiffrée (payload) avec la clé aléatoire et provoquer l'exécution du programme (WP) sur des données d'entrée comprenant la réponse reçue après décryptage.
Des aspects préférés mais facultatifs sont les suivants :
* la requête envoyée à l'étape d'envoi est chiffrée avec la clé publique du WN ou autre enclave.
* le message reçu à partir du WN ou autre enclave comprend en outre la clé publique d'une paire de clés privée/publique dérivées à partir de la même information donnée, et la requête envoyée à l'étape d'envoi au WN ou à l'autre enclave est chiffrée avec ladite clé publique dérivée du WN ou autre enclave.
* l'exécution du programme comprend en outre la génération d'un message à destination d'un WN ou autre enclave comprenant ladite information ainsi qu'une attestation de l'exécution dudit programme correspondant à ladite information.
* le message reçu à partir du WN ou autre enclave comprend en outre une attestation de l'exécution par ledit WN ou autre enclave dudit programme correspondant à ladite information.
* le message reçu à partir du WN ou autre enclave est reçu à l'état chiffré avec la clé publique de l'enclave et est décrypté avec sa clé secrète.
* l'enclave comprend en outre des moyens aptes, lors de la réception de la part d'une autre enclave d'une requête comprenant une attestation attestant l'exécution en cours dudit premier programme et ladite clé publique de la paire de clés dérivée, à générer et retourner un message comprenant au moins une partie chiffrée (payload) au moyen de ladite clé publique.
* ladite requête reçue comprend en outre une clé aléatoire, et les moyens de chiffrement pour retourner un message comprennent cette clé.
Par ailleurs, les processus sécurisés de mise en œuvre de Smart Contracts sont en général complètement déconnectés du monde physique. A cet égard, faire communiquer une unité de traitement mise en œuvre dans un processus avec le monde extérieur ouvre par principe une porte aux possibilités de fraude.
Un aspect de l'invention vise à permettre de connecter l'exécution de Smart Contracts avec le monde réel, comme on va le voir dans la suite, tout en préservant la sécurité de cette exécution.
On propose à cet effet un système-sur-puce (SoC) sécurisé dans lequel est mémorisé de façon inaccessible autrement que par le SoC une clé privée de SoC, ou le SoC est apte à dynamiquement régénérer cette clé privée, le Soc étant apte à communiquer avec un autre équipement par des messages et étant apte à exécuter des Smart Contracts (WP) en réponse à la réception de messages, et à mémoriser au moins un Smart Contract à exécuter dans des conditions de traitement sécurisé, le SoC comprenant en outre des moyens de communication entre le système et un module externe comprenant au moins un capteur et/ou un actionneur, ces moyens comprenant au moins côté système une unité de gestion de la communication, et des moyens de sécurisation de ladite communication aptes à empêcher au moins le remplacement d'un module par un autre module, l'exécution d'au moins un Smart Contract étant apte à recevoir en entrée à partir de ladite unité de gestion une donnée de capteur en provenance dudit module et/ou à émettre en sortie une donnée d'actionnement vers ledit module.
Des aspects préférés mais non limitatifs sont les suivants :
* le système comprend des moyens pour signer à l'aide de ladite clé privée une donnée de capteur reçue du module dans le cadre de l'exécution d'un Smart Contract, et à transmettre ladite donnée signée vers une autre équipement sécurisé constituant une partie au Smart Contract.
* le système comprend des moyens recevoir une instruction d'actionnement signée à partir d'un autre équipement sécurisé constituant une partie à un Smart Contract, pour vérifier ladite signature et pour appliquer ladite instruction audit module.
* les moyens de sécurisation comprennent un moyen d'apprentissage d'au moins une propriété permanente de la liaison entre le SoC et le module.
* le moyen d'apprentissage est apte à mémoriser ladite propriété à ladite connexion, et les moyens de sécurisation sont aptes à comparer périodiquement la propriété courante avec la propriété mémorisée.
* la liaison est filaire, et ladite propriété est une propriété d'impédance.
* la liaison est sans fil, et ladite propriété comprend au moins une caractéristique du domaine temporel et/ou fréquentiel de ladite liaison.
* ladite propriété comprend une combinaison de caractéristiques du domaine temporel et/ou fréquentiel de ladite liaison.
* le module comprend une partie formant tag RFID.
* le module comprend un tag de communication sans fil standard fixé de façon inviolable à un capteur et/ ou actionneur du commerce.
* le tag est une étiquette RFID.
* les moyens de sécurisation comprennent des moyens d'appariement logique entre le système et le module. * les moyens de sécurisation comprennent des moyens de vérification de la persistance de l'appariement.
* les moyens de vérification de la persistance de l'appariement et/ou les moyens de communication comprennent l'envoi d'un nonce vers le module et l'analyse d'une réponse du module prenant an compte ledit nonce.
* le système comprend une mémoire spécifique pour des données de capteur et/ou d'actionneur en provenance/à destination dudit module et une unité de gestion de ladite mémoire apte lire et/ou écrire des données dans ladite mémoire lors de l'exécution d'un Smart Contract parmi les Smart Contracts autorisés à accéder à ces données.
* ladite unité de gestion de mémoire fait partie d'une unité de gestion de mémoire générale comprenant en outre une unité de gestion de l'accès à une mémoire de Smart Contracts et une mémoire de données respectivement associées aux différents Smart Contracts.
* ladite unité de gestion de mémoire générale comprend également une unité de gestion d'une mémoire pour des unités de compte (Tags] reçues par des transactions incluses dans des messages, apte lire et/ou écrire des données dans ladite mémoire d'unités de compte lors de l'exécution d'un Smart Contract parmi les Smart Contracts autorisés à accéder à ces unités de compte.
* l'unité de gestion de mémoire générale est apte à charger un Smart Contract pour exécution à partir d'une désignation de Smart Contract contenue dans un message arrivant dans le système.
* des données de capteur et/ou d'actionneur en provenance/à destination dudit module sont transmises à la volée entre un moyen d'exécution d'un Smart Contract et l'unité de gestion de la communication.
Autres aspects
A propos des avantages qualitatifs susmentionnés, l'article "Why Many Smart Contract Use Cases Are Simply Impossible" [http://www.coindesk.com/three-smart-contract-misconceptions/] présente des limitations d'Ethereum par rapport aux interactions avec le monde extérieur (voir en particulier sous « Contacting External Services »:
"Often, the first use case proposed is a smart contract that changes its behavior in response to some external event. For example, an agricultural insurance policy which pays out conditionally based on the quantity ofrainfall in a given month.
The imagined process goes something like this: The smart contract waits until the predetermined time, retrieves the weather report from an external service and behaves appropriately based on the data received.
This ail sounds simple enough, but it's also impossible. Why? Because a blockchain is a consensus-based System, meaning that it only works if every node reaches an identical state after processing every transaction and block.
Everything that takes place on a blockchain must be completely deterministic, with no possible way for différences to creep in. The moment that two honest nodes disagree about the chain 's state, the entire System becomes worthless.
Now, recall that smart contracts are executed independently by every node on a chain. Therefore, if a smart contract retrieves some information from an external source, this retrieval is performed repeatedly and separately by each node. But because this source is outside of the blockchain, there is no guarantee that every node will receive the same answer.
Perhaps the source will change its response in the time between requests from différent nodes, or perhaps it will become temporarily unavailable. Either way, consensus is broken and the entire blockchain dies.
So, what's the workaround? Actually, it's rather simple. Instead of a smart contract initiating the retrieval of external data, one or more trusted parties ("oracles"] créâtes a transaction which embeds that data in the chain. Every node will have an identical copy of this data, so it can be safely used in a smart contract computation." On pallie ce manque tout d'abord en permettant l'accès par un « Wallet Node » WN (voir WO2016120826A2), de manière sécurisée, à un site Web HTTPS quelconque directement (éliminant ainsi le besoin d'un smart contract "oracle"), en exploitant le protocole TLS de bout en bout. Cet accès peut être mis en œuvre sur une pluralité de nœuds "WN clones" (qui sont une mise en œuvre particulière de nœuds miroirs, cf. section « WN Miroirs »] aptes à accéder en redondance à une source de données. Concernant le risque de modification de la réponse par la source entre deux requêtes, les WN clones sont aptes à se coordonner pour traiter, selon des règles préconvenues (selon des paramètres de configuration), des cas de réponses différentes à de mêmes requêtes (selon des approches telles que prendre la majorité, la moyenne, etc.)— l'avantage essentiel apporté comparé aux nœuds d'Ethereum étant l'accès au réseau, évitant ainsi l'intermédiation par un tiers de confiance. L'article précité évoque ensuite le besoin d'émettre un message au monde extérieur :
"When it cornes to smart contracts causing events in the outside world, a similar problem appears. For example, many like the idea ofa smart contract which calls a bank's API in order to transfer money. But if every node is independently executing the code in the chain, who is responsible for calling thisAPI? If the answer is just one node, what happens if that particular node malfunctions, deliberately or not?'
On pallie ce manque en permettant de mettre en œuvre un protocole fiable selon lequel exactement l'un des nœuds miroirs du nœud censé émettre un message au monde extérieur, émet ce message (voir plus loin section « WN émettant un message au monde extérieur »).
Dans les deux cas d'utilisation susmentionnés, la limitation intrinsèque des nœuds d'Ethereum par rapport au réseau va à l'encontre de son but de décentralisation ; cf. article précité :
"they both require a trusted entity to manage the interactions between the blockchain and the outside world. While this is technically possible, it undermines the goal ofa decentralised System."
L'autre limitation importante d'Ethereum décrite par l'article précité est sa non-confidentialité intrinsèque :
";/ one smart contract can't access another's data, have we solved the problem of blockchain confidentiality? Does it make sensé to talk of hiding information in a smart contract? Unfortunately, the answer is no.
Because even ifone smart contract can't read another's data, that data is still stored on every single node in the chain. For each blockchain participant, it's in the memory or disk of a System which that participant completely controls. And there's nothing to stop them reading the information from their own System, if and when they choose to do so."
Cette limitation forte d'Ethereum est palliée par la propriété de blindness (signifiant "confidentialité étendue au hardware") des WN, obtenue par l'architecture hardware proposée par l'invention.
Les smart contracts d'Ethereum sont compris comme "cryptographie "boxes" that contain value and only unlock it if certain conditions are met" [phrase extraite du Ethereum White Paper déjà cité], alors que selon le système de l'invention, les smart contracts sont mis en œuvre comme des contrats exécutables "Wallet Program" (WP) entre nœuds (WN) du réseau de Wallet Nodes, et ayant les caractéristiques suivantes :
• les WN interagissent par messages "Wallet Message" (WM);
· chaque WM spécifiant le WP que le WN récepteur doit exécuter pour le traiter;
• un WM étant susceptible de comporter une ou plusieurs transactions de transfert de "valeurs" du WN émetteur vers le WN récepteur;
• valeurs qui appartiendront au WN récepteur (ou à tout le moins seront gérées par le WN récepteur) et qui pourra à son tour les transférer en générant d'autres transactions (dans le cadre de l'exécution d'un WP qui en général pourra être différent du WP spécifié dans le WM qui les lui a transférées),
• le système des WN comportant des moyens dans chaque WN pour empêcher un double-spend de ces valeurs, et • un WN comprenant avantageusement des moyens pour réserver la consommation de ces valeurs à un ou plusieurs programmes WP habilités.
Néanmoins, lesdites "cryptographie boxes" peuvent aisément être construites sur des WN. Le système de l'invention marie ainsi la conception classique des contrats "something that should be "fulfilled" or "complied with "" avec celle d'Ethereum ["rather, they are more like "autonomous agents" that live inside of the Ethereum exécution environment, always executing a spécifie pièce ofcode when "poked" by a message or transaction, and having direct control over their own ether balance and their own ke '/value store to keep track of persistent variables") [phrases aussi tirées du Ethereum White Paper déjà cité].
Les nœuds WN sont comparables aux nœuds d'Ethereum : l'adresse d'un nœud Ethereum, déterminée à partir de la clé publique d'une paire de clés, est analogue à l'adresse d'un WN qui est déterminée à partir de la clé publique du WN en question. Dans un WN, un smart contrat est un code exécutable "Wallet Program" (identifié par son haché "#WP"], code compilable à partir d'un langage comme Solidity [http://solidity.readthedocs.io/en/develop/introduction-to-smart-contracts.html (incorporé ici par référence]] mais avec adaptations permettant que les WN aient accès au réseau, que les transactions générées par un WN puissent transférer des valeurs en n'importe quelles unités (et pas seulement des ethers], etc.
Alors que dans Ethereum une exécution de contrat est effectuée sur un grand nombre de nœuds (les mineurs] qui la valident, dans le cas des WN, lorsqu'un contrat (WP] est exécuté, le nœud sur lequel cette exécution a été provoquée est le seul qui l'exécute et a ses propres variables persistantes d'état. Les WN représentent un modèle plus général en ce sens que les variables persistantes d'un nœud sont d'un usage général, elles ne représentent pas uniquement un solde en Ether et elles ne sont pas nécessairement des variables associées au contrat pour tous les nœuds qui l'exécutent (elles ne sont pas nécessairement les variables partagées constituant le key /value store d'un contrat Ethereum [voir la Ethereum White Paper déjà cité]].
Les WN garantissent l'intégrité d'exécution par des contraintes hardware et, avantageusement, par de la redondance (pour encore plus de sécurité], ledit nœud étant alors un nœud virtuel matérialisé par une pluralité de nœuds miroirs mémorisant, manipulant et maintenant de manière synchronisée les variables spécifiques audit nœud virtuel.
II est utile de se référer à la description de la Figure 23 au début de la section « description détaillée de formes de réalisation préférées ».
On vise par ailleurs à permettre d'exécuter des smarts contracts (WP] sur des WN en utilisant la blockchain Bitcoin (ou autre blockchain], en ne générant et n'insérant dans la blockchain que certaines des transactions, sur instruction des WN concernés, ce qui offre le triple avantage d'avoir la puissance des smart contracts sur Bitcoin, d'éviter la lenteur de son protocole de consensus et de ne pas payer de transaction fees (pour les transactions qui ne sont pas insérées dans la blockchain]. La section « Transactions Bitcoin off-chain » décrit un procédé permettant de faire consommer des unités de valeurs (telles que des bitcoins ou des ethers] par différents types de programmes WP, procédé qui confère ainsi à un système basé sur Bitcoin la puissance des smart contracts d'un système tel que Ethereum.
Le protocole Bitcoin nécessite d'attendre des confirmations de transactions bloc par bloc qui, selon l'approche adoptée, prennent aujourd'hui de l'ordre de quelques secondes à la dizaine de minutes chacune et impliquent des volumes de transactions limités. Ethereum, ainsi que le procédé tel que décrit dans FR 3 018 377 Al au nom du demandeur, permettent l'exécution décentralisée de contrats exécutables. La technologie Sidechains a été conçue pour essentiellement permettre de gérer des engagements et transactions de manière autre que celle prévue dans Bitcoin et pouvoir revenir au protocole Bitcoin d'origine à souhait [https://blockstream.com/sidechains.pdf] (ce que permet en substance l'invention]. Plus récemment ont été proposés en complément de ces systèmes, des « state- channel networks » tels que « Lightning Network » [https://lightning.network/lightning-network- paper.pdf], et « Payment-Channel Network » [http://raiden.network/] pour Ethereum, pour éviter de nécessairement utiliser la blockchain pour chaque transaction. Cette approche implique que les nœuds surveillent la blockchain pour réagir en cas d'insertion de transactions qui ne reflètent pas l'état courant, pour rectifier, ce qui nécessite de mettre en œuvre des verrous sécurisant une fenêtre temporelle d'observation, engendrant une certaine lenteur. L'invention pallie cette difficulté du fait de la garantie d'intégrité d'exécution des WP qu'elle offre d'emblée : les transactions insérées générées par WN ne nécessitent pas de surveillance.
On notera par ailleurs que le hardware proposé selon l'invention permet d'assurer un traitement sans divulgation, propriété (appelée « confidentialité »] offerte notamment par les environnements sécurités tels que les nouveaux processeurs Intel pour leurs environnements (enclaves] sécurisés « SGX », et l'on connaît des recherches sur le chiffrement homomorphique pour le traitement sur le Cloud offrant des garanties d'intégrité d'exécution et de non-divulgation des données traitées ni-même du code exécuté. Toutefois la technologie de chiffrement homomorphique est en phase de recherche et pas encore opérationnelle sauf dans des cas restreints ou particuliers.
Rappelons que la demande WO2016/120826 A2 décrit un système-sur-puce (SoC, appelé « Wallet Node », ou « WN », ou encore « entité »] intégré à - ou couplé avec - un dispositif connecté tel qu'un smartphone, un objet connecté de l'Internet des Objets (IoT] ou encore un ordinateur, offrant des garanties d'intégrité d'exécution dans la mesure où les restrictions d'accès entre ses différentes parties ne peuvent pas être altérées ou contournées. Essentiellement, la seule exécution possible d'un WN est de réagir à un message entrant, en en vérifiant son intégrité et en exécutant ensuite le code exécutable "Wallet Program" correspondant au haché spécifié dans ce message. En référence à cette demande PCT, dans le présent texte, par "message" on entend "Wallet Message" sauf lorsqu'il est explicite que ce n'est pas le cas. Définition d'autres aspects avec lesquels les aspects ci-dessus peuvent éventuellement être combinés, selon des combinaisons que l'homme du métier appréhendera comme étant compatibles.
On propose selon un autre aspect encore un procédé d'établissement de poids de connexion entre nœuds d'un réseau mis en œuvre par des unités de traitement informatiques communicantes, à chaque nœud étant associées une clé publique et une clé privée, un nœud donné étant susceptible de communiquer sa clé publique à un autre nœud, formant ainsi une connexion dite réelle (« IRL- connecté »] entre les deux nœuds, et chaque nœud étant également susceptible de communiquer à un autre nœud une clé publique reçue d'un autre nœud encore, formant ainsi une connexion dite indirecte entre l'autre nœud et l'autre nœud encore, un nœud étant susceptible d'avoir un poids de connexion spécifique vis-à-vis d'un autre nœud avec lequel il a une connexion réelle ou indirecte, le procédé comprenant, pour déterminer le poids de connexion d'un deuxième nœud vis-à-vis d'un premier nœud, le calcul d'une combinaison déterminée de facteurs de pondération (influence, proximité] de troisièmes nœuds qui sont IRL-connectés au deuxième nœud. Avantageusement mais facultativement :
* le poids de connexion du deuxième nœud influence les facteurs de pondération des troisièmes nœuds, et comprenant en outre une mise à jour des valeurs des facteurs de pondération des troisièmes nœuds après calcul du poids de connexion du deuxième nœud.
* le procédé est mis en œuvre de façon itérative jusqu'à convergence.
* l'établissement d'une connexion dite réelle (IRL-connexion] entre un premier nœud et un autre nœud comprend les étapes suivantes :
au niveau d'une première unité de traitement implémentant le premier nœud, rendre accessible par lecture de proximité un code lisible par machine codant une donnée aléatoire (nonce] ; au niveau d'une autre unité de traitement implémentant l'autre nœud, lire le code lisible par machine, extraire ladite donnée aléatoire et calculer un haché de ladite donnée aléatoire, transmettre de ladite autre unité de traitement vers la première unité de traitement via un canal de communication la clé publique associée audit autre nœud et une signature (du haché) de la donnée aléatoire effectuée avec sa clé privée,
au niveau de la première unité de traitement, vérifier ladite signature à l'aide de la clé publique reçue et de la donnée aléatoire utilisée pour générer le code lisible par machine, et enregistrer ladite clé publique si la vérification aboutit.
* l'établissement d'une connexion dite réelle (IRL-connexion] entre un premier nœud et un autre nœud comprend les étapes suivantes :
au niveau d'une première unité de traitement implémentant le premier nœud, générer un passphrase et le rendre accessible à l'utilisateur de ladite première unité de traitement,
au niveau d'une autre unité de traitement implémentant l'autre nœud, introduire en entrée ledit passphrase, communiqué par l'utilisateur de la première unité de traitement à l'utilisateur de l'autre unité de traitement par une voie de communication mettant en jeu une action humaine entre les deux utilisateurs,
transmettre de ladite autre unité de traitement vers le première unité de traitement via un canal de communication la clé publique associée audit autre nœud et une signature (du haché) du passphrase introduit, effectuée avec sa clé privée,
au niveau de la première unité de traitement, vérifier ladite signature à l'aide de la clé publique reçue et du passphrase initialement rendu accessible à l'utilisateur de la première unité de traitement, et enregistrer ladite clé publique si la vérification aboutit.
* une pluralité de deuxièmes nœuds ont des poids de connexion avec le premier nœud, et dans lequel la détermination du poids de connexion d'un deuxième nœud donné vis-à-vis du premier nœud est également basée sur les poids de connexions desdits autres deuxièmes nœuds vis-à-vis du premier nœud:
On propose selon un autre aspect un procédé de détermination de l'influence d'un premier nœud dans un réseau de nœuds mis en œuvre par des unités de traitement informatiques communicantes, à chaque nœud étant associées une clé publique et une clé privée, un nœud étant susceptible de communiquer sa clé publique à un autre nœud, formant ainsi une connexion dite réelle (IRL- connexion) entre les deux nœuds, et chaque nœud étant également susceptible de communiquer à un autre nœud une clé publique reçue d'un autre nœud encore, formant ainsi une connexion dite indirecte entre l'autre nœud et l'autre nœud encore, le procédé comprenant la détermination d'un facteur influence d'un nœud donné sur la base du nombre de deuxièmes nœuds ayant une connexion réelle avec ledit nœud donné et des valeurs de poids de connexion déterminées par le procédé de la dans lequel une pluralité de deuxièmes nœuds ont des poids de connexion avec un premier nœud, et dans lequel la détermination du poids de connexion d'un deuxième nœud donné vis-à-vis du premier nœud est également basée sur les poids de connexions desdits autres deuxièmes nœuds vis-à-vis du premier nœud, pour les différents deuxièmes nœuds.
Avantageusement mais facultativement :
* le poids de connexion d'un deuxième nœud vis-à-vis du premier nœud est déterminé aussi sur la base de valeurs des facteurs influence respectifs des troisièmes nœuds ayant une connexion réelle avec ledit deuxième nœud.
* les valeurs de poids de connexion et de facteur influence sont déterminées itérativement jusqu'à leur convergence en des valeurs qui ne varient plus de manière significative.
On propose selon un autre aspect un procédé pour établir des connexions dites quasi-réelles entre nœuds d'un réseau mis en œuvre par des unités de traitement informatiques communicantes, à chaque nœud étant associées une clé publique et une clé privée, un nœud donné étant susceptible de communiquer sa clé publique à un autre nœud, formant ainsi une connexion dite réelle (« IRL- connecté ») entre les deux nœuds, et chaque nœud étant également susceptible de communiquer à un autre nœud une clé publique reçue d'un autre nœud encore, formant ainsi une connexion dite indirecte entre l'autre nœud et l'autre nœud encore, chaque nœud étant susceptible d'avoir un poids de connexion spécifique vis-à-vis d'un autre nœud avec lequel il a une connexion réelle ou indirecte, le comprenant les étapes suivantes :
à partir d'un premier nœud et d'un deuxième nœud entre lesquels une connexion doit être établie, sélectionner une pluralité de nœuds intermédiaires entre le premier nœud et le deuxième nœud, parmi ceux présentant les plus grands poids de connexion vis-à-vis du premier nœud,
communiquer à partir du premier nœud vers les nœuds intermédiaires sélectionnés une donnée aléatoire [nonce] destinée à être communiquée au deuxième nœud,
via un ou plusieurs canaux de communication distincts du canal de communication entre nœuds, communiquer de façon redondante à partir des nœuds intermédiaires vers le deuxième nœud ledit code aléatoire ainsi que les clés publiques desdits nœuds intermédiaires,
au niveau du deuxième nœud, en réponse à la réception du code aléatoire en redondance, générer une signature du code aléatoire à l'aide de la clé privée du deuxième nœud et retourner vers les nœuds intermédiaire ladite signature ainsi que la clé publique du deuxième nœud, chiffrée à l'aide des clés publiques des nœuds intermédiaires, respectivement,
au niveau de chacun des nœuds intermédiaires, vérification de la signature du code aléatoire reçue du deuxième nœud et, en cas de succès, communication au premier nœud de la clé publique du deuxième nœud, chiffrée à l'aide de la clé publique du premier nœud, et
au niveau du premier nœud, déchiffrement et mémorisation de la clé publique du deuxième nœud,
les premier et deuxième nœuds pouvant alors s'échanger des informations chiffrées avec une sécurité liée aux poids de connexion des nœuds intermédiaires.
Avantageusement mais facultativement :
* la sélection des nœuds intermédiaire s'effectue également parmi ceux présentant les plus grands poids de connexion vis-à-vis du deuxième nœud.
* le code aléatoire est généré conjointement par un ensemble de nœuds formés par le premier nœud et par les nœuds intermédiaires, par la mise en œuvre des étapes suivantes :
génération d'un code aléatoire au niveau de chaque nœud de l'ensemble,
échange entre les nœuds de l'ensemble, avec chiffrement à l'aide des clés respectives des nœuds, de hachés desdits codes aléatoires,
échange entre lesdits nœuds de l'ensemble, avec chiffrement à l'aide des clés respectives des nœuds, des codes aléatoires tels quels,
vérification au niveau de chaque nœud de l'ensemble que le code aléatoires tels quels correspondent bien à leurs hachés respectifs reçus à l'étape précédente, et
génération d'un code aléatoire final destiné à être communiqué au deuxième nœud par combinaison prédéterminée des codes aléatoires générés au niveau de chaque nœud de l'ensemble.
* ledit canal de communication distinct est basé sur un réseau social, et comprenant une étape de publication par le deuxième nœud sur ledit réseau social d'une signature dudit code aléatoire et sa clé publique.
* le procédé comprend en outre, en réponse au succès de l'étape de vérification de la signature du code aléatoire reçue du deuxième nœud, une étape d'attribution d'un poids de connexion du deuxième nœud vis-à-vis du premier nœud.
* le procédé selon le premier aspect est mis en œuvre dans un réseau comprenant des nœuds à connexions quasi-réelles établies selon le troisième aspect, et les connexions quasi-réelles sont considérés comme des connexions réelles au sens du procédé, avec un poids tenant compte du caractère quasi-réel de la connexion.
Selon un autre aspect encore, on propose un procédé pour sécuriser le fonctionnement d'un réseau de nœuds aptes à exécuter des programmes (WP) en réponse à la réception de messages (WM), les nœuds étant susceptibles d'être liés entre eux selon des poids de connexion différents déterminés par le procédé selon le premier aspect ou par le procédé selon le troisième aspect, le procédé comprenant, lors de la réception d'un message (WM) au niveau d'un nœud récepteur, la comparaison du poids de connexion du nœud ayant émis ce message avec les poids de connexion d'autres nœuds avec lesquels le nœud récepteur possède des connexions réelles, et l'acceptation dudit message seulement si le poids de connexion du nœud émetteur est égal ou supérieur au plus petit desdits poids de connexion.
Selon un autre aspect, on propose un procédé pour sécuriser le fonctionnement d'un réseau de nœuds aptes à exécuter des programmes (WP) en réponse à la réception de messages (WM), les nœuds étant susceptibles d'être liés entre eux selon des poids de connexion différents obtenus notamment par le procédé selon le premier aspect ou par le procédé selon le troisième aspect où, en réponse au succès de l'étape de vérification de la signature du code aléatoire reçue du deuxième nœud, on prévoit une étape d'attribution d'un poids de connexion du deuxième nœud vis-à-vis du premier nœud, comprenant les étapes suivantes :
sur la base des valeurs de poids de connexion, affecter à chaque nœud au moins un nœud contresignataire ayant vis-à-vis de lui un poids de connexion supérieur à un seuil,
au niveau de chaque nœud, maintenir une liste de nœuds contresignataires de nœuds susceptibles de recevoir des messages (WM) à partir du nœud en question, chaque nœud et ses nœuds contresignataires formant un ensemble de nœuds miroirs,
lorsqu'un message doit être envoyé par un nœud émetteur à un nœud destinataire, provoquer l'envoi de ce message par au moins certains des nœuds miroirs du nœud émetteur vers au moins certains des nœuds miroirs du nœud destinataire,
valider le message seulement si une fraction donnée des messages émis a été reçue. Avantageusement mais facultativement :
* les messages sont émis vers tous les nœuds miroirs du nœud destinataire.
* les messages sont émis par le nœud émetteur ainsi que par les seuls nœuds contresignataires du nœud émetteur qui sont également contresignataires du nœud destinataire.
* un message envoyé d'un premier nœud à un second nœud n'est validé par le second nœud que si les ensembles respectifs de nœuds miroirs des premiers et deuxième nœuds ont une intersection dont le nombre d'éléments est supérieur à un certain seuil et si
le second nœud a reçu ce même message (en redondance) de la part d'au moins une fraction donnée desdits nœuds miroirs appartenant à cette intersection.
* dans un procédé selon le premier aspect mise en œuvre dans un réseau comprenant des nœuds miroirs selon le cinquième aspect, un nœud est considéré comme contresignataire d'un nœud donné seulement si le poids de connexion du nœud en question est au moins égal au plus petit des poids de connexion des nœuds ayant des connexions réelles avec le nœud donné.
On propose selon un autre aspect un système pour sécuriser le fonctionnement d'un réseau de nœuds aptes à exécuter des programmes (WP) en réponse à la réception de messages (WM), les nœuds étant susceptibles d'être liés entre eux selon des poids de connexion différents, apte à :
sur la base des valeurs de poids de connexion, affecter à chaque nœud au moins un nœud contresignataire ayant vis-à-vis de lui un poids de connexion supérieur à un seuil, au niveau de chaque nœud, maintenir une liste de nœuds contresignataires de nœuds susceptibles de recevoir des messages à partir du nœud en question, chaque nœud et ses nœuds contresignataires formant un ensemble de nœuds miroirs,
lorsqu'un message doit être envoyé par un nœud émetteur à un nœud destinataire, provoquer l'envoi de ce message par au moins certains des nœuds miroirs du nœud émetteur vers au moins certains des nœuds miroirs du nœud destinataire.
Avantageusement mais facultativement :
* un nœud destinataire d'un message (WM) ne le valide que seulement si les ensembles respectifs de nœuds miroirs des nœuds émetteur et destinataire ont une intersection dont le nombre d'éléments est supérieur à un seuil donné et si le nœud destinataire a reçu ce même message (en redondance) de la part d'au moins une fraction donnée desdits nœuds miroirs appartenant à cette intersection.
On propose selon un autre aspect un système pour sécuriser le fonctionnement d'un réseau de nœuds constitués par des systèmes sur puce aptes à exécuter des programmes (WP) en réponse à la réception de messages (WM], caractérisé en ce qu'il comprend en combinaison les deux architectures suivantes :
- au niveau de chaque nœud, une architecture d'accès à des programmes chiffrés sur la base de hachés de ces programmes, contenus dans les messages entrants,
- au niveau de chaque nœud, une architecture de détermination de nœuds contresignataires, de duplication des messages de/vers les nœuds contresignataires, et de détermination du caractère identique des messages reçus.
On propose selon un autre aspect un système pour l'exécution sécurisée de programmes dans une architecture comprenant un ensemble d'équipements reliés en réseau, caractérisé en ce qu'il comprend dans au moins un équipement, un système-sur-puce (SoC) sécurisé dans lequel est mémorisé de façon inaccessible autrement que par le SoC une clé privée de SoC, ou le SoC est apte à dynamiquement régénérer cette clé privée (technologie PUF),
un SoC pouvant communiquer avec un autre équipement uniquement par des messages et étant apte à exécuter des programmes seulement en réponse à la réception de messages,
un SoC étant apte à mémoriser au moins un programme à exécuter après chiffrement par le SoC et à générer un haché du ou de chaque programme permettant de retrouver le programme chiffré, l'équipement étant apte en outre à adresser au SoC un message contenant des données d'entrée (data) pour un certain programme à exécuter, ainsi que le haché dudit programme (#P2), le SoC étant apte, en réponse à un tel message, de façon sécurisée, (i) accéder au programme chiffré à exécuter à partir du haché (#P2) du programme reçu dans le message, (ii) déchiffrer à la volée les instructions du programme, et (iii) exécuter à la volée les instructions déchiffrées.
Avantageusement mais facultativement :
* avant émission d'un message par le SoC, le SoC insère le haché (#P1) du programme en cours d'exécution dans le message à émettre, ainsi que la signature de ce haché au moyen de ladite clé privée secrète du SoC.
* avant émission d'un message par le SoC, le SoC insère le haché (#P1) du programme en cours d'exécution dans le corps du message à émettre que le SoC signe au moyen de la clé privée secrète du SoC.
* le SoC comprend une unité de gestion cryptographique de mémoire (CMMU, Crypto Memory Management Unit) dans lequel est mémorisé - ou apte à dynamiquement régénérer (technologie PUF) - la clé secrète du SoC qui n'est accessible que par l'unité CMMU qui ne la dévoile jamais, et c'est par cette unité CMMU que sont effectués :
ledit chiffrement du programme avant mémorisation, une allocation d'adresse mémoire (addrl..addr2 range] pour le programme ainsi chiffré, ladite génération du haché du programme et
ledit décryptage pour exécution à la volée par au moins une unité processeur comprise dans le
SoC.
* l'unité CMMU effectue chiffrement et mise en mémoire bloc d'instructions par bloc d'instructions et fournit audit processeur un seul bloc d'instructions déchiffré à la fois, pour leur exécution à la volée.
* avant émission d'un message par le SoC, l'unité CMMU insère le haché (#P1) du programme en cours d'exécution dans le message à émettre, ainsi que la signature de ce haché par le CMMU au moyen de ladite clé privée secrète du SoC.
* avant émission d'un message par le SoC, l'unité CMMU insère le haché (#P1) du programme en cours d'exécution dans le corps du message à émettre qu'elle signe au moyen de la clé privée secrète du SoC.
* un SoC est apte à émettre un message ayant un même haché pour le programme en cours d'exécution (#P1) et pour le programme à exécuter par le destinataire (#P1 = #P2), ce programme (PI = P2) étant un engagement exécutable (smart contract) dans le cas où le destinataire dudit message est un SoC.
On propose selon un autre aspect un système-sur-puce SoC destiné à former un nœud Wallet Node (WN) d'un réseau, comprenant une unité de gestion cryptographique de mémoire avec chiffrement (CMMU) apte à assurer une exécution en aveugle (blind) de programmes par au moins un processeur du SoC, dans lequel :
· dans l'unité CMMU est mémorisée (ou dynamiquement régénérée) de façon inaccessible autrement que par l'unité CMMU une clé privée (clé secrète),
* l'unité CMMU est apte à mémoriser au moins un programme à exécuter après chiffrement par l'unité CMMU et à générer un haché du ou de chaque programme permettant de retrouver le programme chiffré,
· ledit processeur n'est apte à exécuter des programmes que sur commande de l'unité CMMU,
* les interactions entre le système-sur-puce et d'autres nœuds du réseau s'effectuent exclusivement par messages et les messages sont reçus/émis par l'unité CMMU exclusivement,
* les messages comprennent l'identification d'un certain programme à exécuter, identifié par son haché,
· en réponse à la réception d'un message, l'unité CMMU (i) accède au programme chiffré à exécuter à partir du haché du programme reçu dans le message (notamment via une table PHT), (ii) déchiffre les instructions du programme, et (iii) transmet au processeur pour exécuter les instructions déchiffrées sur lesdites données reçues. Avantageusement mais facultativement :
* le ou au moins un processeur est apte à accéder à, et à manipuler (création, mise-à-jour, suppression), via l'unité CMMU, des variables persistantes d'état (PSV) associées à un programme donné, lesquelles sont également chiffrées et stockées en mémoire par l'unité CMMU et déchiffrées à la volée.
* ledit programme à exécuter et ses variables persistantes d'état (PSV) sont mémorisés dans un espace d'adressage spécifique assurant leur isolement par rapport aux autres programmes.
* un message est susceptible de contenir une ou plusieurs transactions de transfert d'unités de compte (UA) d'un nœud émetteur vers un nœud récepteur, les unités de compte reçues par un nœud récepteur étant susceptibles d'être à nouveau transférées par une transaction contenue dans un message émis par ledit nœud récepteur.
* le procédé comprend un espace de mémoire pour des unités de compte (tags) reçues par des transactions.
* le procédé est apte à combiner des unités de compte de différents tags dans une même transaction à émettre. * l'unité CM MU comprend des moyens neutralisation d'un tag qui alimente une transaction émise, de telle sorte que les UA ainsi consommées ne puissent être consommées par une autre transaction.
* l'unité CMMU comprend des moyens de contrôle de l'utilisation des tags par les différents programmes, de telle sorte que seul un programme habilité puisse alimenter une transaction à générer à partir d'un tag donné.
* ladite mémoire est dans le SoC.
* ladite mémoire est séparée du SoC.
* un programme peut alternativement être déclenché sur écoulement d'un timeout pour un programme donné et l'unité CMMU est également apte, sur survenance d'un timeout associé au haché d'un programme (i) à accéder en mémoire au programme chiffré à partir de ce haché, [ii) déchiffrer les instructions du programme, et (iii) transmettre au processeur pour exécution les instructions déchiffrées.
*l'unité CMMU effectue lesdits chiffrement et mise en mémoire bloc d'instructions par bloc d'instructions et fournit audit processeur un seul bloc déchiffré à la fois, pour exécution à la volée. * avant émission d'un message, l'unité CMMU insère le haché (#P1) du programme en cours d'exécution dans le message à émettre, ainsi que la signature de ce haché par le CMMU au moyen de ladite clé privée secrète.
* avant émission d'un message, l'unité CMMU insère le haché (#P1) du programme en cours d'exécution dans le corps du message à émettre qu'elle signe au moyen de ladite clé privée secrète. * l'unité CMMU est apte à émettre un message ayant un même haché pour le programme en cours d'exécution (#P1) et pour le programme (#P2) à exécuter par le destinataire (#P1 = #P2), ce programme (PI = P2) étant ainsi un engagement exécutable (smart contract) dans le cas où le destinataire dudit message est aussi un SoC où, avant émission d'un message par le SoC, le SoC insère le haché (#P1] du programme en cours d'exécution dans le message à émettre, ainsi que la signature de ce haché au moyen de ladite clé privée secrète du SoC.
* certains messages [WM] constituent des messages de transfert de tags mémorisés dans des systèmes avec un espace de mémoire pour des unités de compte [tags] reçues par des transactions, et la validation d'un message de transfert de tag au niveau d'un nœud destinataire est réalisée seulement s'il existe en intersection entre l'ensemble des nœuds miroirs du nœud destinataire et l'ensemble des nœuds miroirs de chacun des nœuds amonts à partir desquels un tel tag a été initialement transféré un nombre de nœuds supérieur à un seuil donné.
On propose selon un autre aspect un système transactionnel à architecture répartie en peer-to-peer, mettant en œuvre des transactions permettant de transférer des unités de compte entre nœuds émetteurs d'unités et nœuds receveurs d'unités, chaque transaction ayant en entrée un input se référant à un output d'une transaction précédente (ou plusieurs inputs se référant chacun à un output d'une transaction précédente) et ayant elle-même au moins un nouvel output spécifiant un nombre d'unités de compte et un nœud receveur, chaque transaction pouvant être validée par insertion, dans une chaîne de blocs mémorisée de façon répartie entre les nœuds, d'une signature de la transaction, , caractérisé en ce qu'au moins certaines des transactions sont réalisées par des nœuds aptes à assurer une condition de blindness desdites transactions, en ce qu'il comprend des moyens pour traiter un ensemble de transactions satisfaisant à la condition de blindness de manière à simplifier cet ensemble en fonction des quantités d'unités de compte et des adresses des nœuds émetteurs et des nœuds récepteurs impliqués dans ces transaction, pour générer un ensemble de transactions réduit, et pour ne générer et mémoriser dans la chaîne de blocs que les signatures de transactions de l'ensemble de transactions réduit.
On propose selon un autre aspect un système transactionnel à architecture répartie en peer-to-peer, mettant en œuvre des transactions permettant de transférer des unités de compte entre nœuds émetteurs d'unités et nœuds receveurs d'unités, chaque transaction ayant en entrée un input se référant à un output d'une transaction précédente (ou plusieurs inputs se référant chacun à un output d'une transaction précédente) et ayant elle-même au moins un nouvel output spécifiant un nombre d'unités de compte et un nœud receveur, chaque transaction pouvant être validée par insertion, dans une chaîne de blocs mémorisée de façon répartie entre les nœuds, d'une signature de la transaction,, caractérisé en ce qu'au moins certaines des transactions sont réalisées par des nœuds aptes à assurer une condition de blindness desdites transactions, en ce qu'il comprend des moyens pour traiter un ensemble de transactions satisfaisant à la condition de blindness de manière à simplifier cet ensemble en fonction des quantités d'unités de compte et des adresses des nœuds émetteurs et des nœuds récepteurs impliqués dans ces transaction, pour générer un ensemble de transactions réduit, et pour ne générer et mémoriser dans la chaîne de blocs que certaines des signatures dudit ensemble réduit et que sur instruction des nœuds concernés.
On propose selon un autre aspect un procédé pour réaliser une transaction entre nœuds d'un réseau associés à des utilisateurs et susceptibles de transférer entre eux des unités de comptes et capables de communiquer entre eux par messages, chaque message désignant un programme WP à exécuter dans le nœud récepteur de ce message, et les utilisateurs étant capables de diffuser des éléments d'offres comprenant un ou plusieurs critères d'offres et susceptibles de donner lieu à des transactions sur le réseau, le procédé comprenant les étapes suivantes :
- envoi par un nœud offreur à un nœud demandeur d'un utilisateur ayant émis des éléments d'offre correspondants, d'un message d'offre de fourniture répondant au(x] critère(s) et engageant ledit nœud, et identifiant un programme WP donné,
- envoi par le nœud demandeur au nœud offreur d'un message d'acceptation de l'offre de fourniture, identifiant le même programme WP donné,
- génération d'une attestation de réalisation, d'existence ou mise à disposition de la fourniture accessible par le nœud offreur, susceptible d'être vérifiée par ledit programme WP donné,
- vérification de l'attestation par le programme WP donné au niveau de l'un des deux nœuds au moins, et
- si la vérification réussit, génération au niveau du nœud demandeur d'un message de transfert d'unités de compte constituant la contrepartie de la fourniture et envoi de ce message au nœud offreur.
Selon un autre aspect avantageux, dans un procédé selon le second aspect mis en œuvre dans un réseau comprenant des nœuds à connexions quasi-réelles établies selon le procédé selon le troisième aspect, les connexions quasi-réelles sont considérés comme des connexions réelles au sens du procédé, avec un poids tenant compte du caractère quasi-réel de la connexion.
Brève description des dessins
D'autres aspects, buts et avantages des systèmes et procédés décrits ici apparaîtront clairement à la lumière de la description détaillée qui suit, donnée à titre d'exemple et faite en référence aux dessins annexés, sur lesquels :
Les Figures la, lb et 2a, 2b présentent des procédés de calcul de poids de connexion des nœuds de l'entourage de l'utilisateur.
Les Figures 3a à 3d présentent schématiquement des envois de messages entre nœuds miroirs.
La Figure 4 illustre une utilisation d'une variable persistante d'état (tag) par deux programmes WP sur un Wallet Node.
Les Figures 5a et 5b présentent schématiquement des transactions de transfert de tags.
La Figure 6 présente schématiquement le comportement des nœuds miroirs dans le cas d'une chaîne de messages transmettant des transactions de transfert de tags. La Figure 7 illustre un message comportant une spécification de l'ensemble des hash des codes exécutables valides.
La Figure 8 illustre la propagation d'accusés de réception entre Wallet Nodes.
La Figure 9 présente schématiquement un exemple de paiements effectués entre Wallet Nodes par transactions Bitcoin abstraites.
Les Figures 10 à 15 présentent schématiquement les transactions Bitcoin réelles correspondant aux transactions abstraites de la Figure 9.
La Figure 16 présente schématiquement un autre exemple de paiements effectués entre Wallet Nodes par transactions Bitcoin abstraites.
Les Figures 17 à 19 présentent schématiquement les transactions Bitcoin réelles correspondant aux transactions abstraites de la Figure 16.
La Figure 20 présente schématiquement le procédé pour garantir les engagements d'un Wallet Node qui deviendrait non-responsive.
La Figure 21 présente schématiquement un SoC comprenant une unité CMMU recevant un programme exécutable.
La Figure 22 présente schématiquement un SoC comprenant une unité CMMU recevant un message comprenant des données d'entrée pour un programme à exécuter.
La Figure 23 présente l'architecture générale d'un Wallet Node.
La Figure 24 présente sous forme de schéma-bloc l'architecture générale d'un Body-SoC et d'un module de capteur ou d'actionneur associé.
La Figure 25 présente sous forme de schéma-bloc fonctionnel la façon dont le Body-SoC implémente potentiellement différents WN, et les différents types de mémoires.
La Figure 26 illustre une fonctionnalité de sécurisation de transactions en chaîne arborescente.
Les Figures 27 à 29 présentent schématiquement des transactions en chaîne arborescente non obligatoirement broadcastées et un processus de sécurisation associé.
Description détaillée de formes de réalisation préférées
Dans la suite, le terme "utilisateur" pourra désigner, selon le contexte, un nœud particulier d'un réseau, chaque nœud possédant une paire de clés cryptographiques. Par ailleurs, le terme "utilisateur", sauf lorsque l'on parle explicitement d'un utilisateur humain, peut désigner un dispositif ou un programme qui lui est associé. Par exemple, une indication du type « l'utilisateur A envoie à l'utilisateur B telle donnée » signifiera que « le dispositif ou programme associé à l'utilisateur A envoie telle donnée au dispositif ou programme associé à l'utilisateur B ». Enfin, vis-à-vis d'un dispositif ou programme donné, le terme « utilisateur » peut dans certains cas désigner un autre dispositif ou programme.
On va maintenant décrire un certain nombre d'aspects d'un tel réseau où les nœuds sont des « Wallet Nodes » WN associés respectivement à des utilisateurs U et capables de communiquer entre eux par des « Wallet Messages » WM en vue de matérialiser différents types de transactions ou d'engagements (typiquement de type smart contracts) touchant les utilisateurs U auxquels sont associés les WN. Ces WN constituent les nœuds d'un graphe avec des liaisons entre les WN constituant les arêtes du graphe.
Les WN peuvent être de différents types (soft ou système-sur-puce ou enclave) et les liaisons entre WN peuvent être notées ou pondérées. Un message WM ne peut être envoyé par un WN d'origine à un WN de destination que si la liaison entre les deux WN considérés satisfait à une certaine notation et/ou pondération.
Un exemple d'un tel réseau est décrit dans la demande PCT WO2016120826A2 au nom du demandeur, dont le contenu est incorporé ici par référence. On utilise les termes « entité », « Wallet Node », « WN » ou simplement « nœud » pour désigner un nœud d'un tel réseau, et un tel nœud est identifié par sa clé publique ou une adresse qui en est dérivée, ces termes « clé », « adresse » pouvant être utilisé pour signifier identifiant d'un nœud, et réciproquement.
La Figure 23 présente l'architecture d'un WN. En référence à cette figure, les messages "Quasi-WM" sont des messages (en réception) qui ne sont pas émis par un WN mais dont le format est le même, en ce sens que, comme les WM, ils contiennent le haché du WP à exécuter sur réception du message. Ainsi, par exemple, lorsque l'utilisateur initie une transaction (via son terminal auquel est couplé le WN], son message "Quasi-WM" comporte le haché du WP de génération de cette transaction (cette information étant automatiquement ajoutée par le terminal). Autre exemple, lorsqu'un WP sous-traite un traitement "non léger" (voir ci-dessous) à un ordinateur distant, le résultat lui est retourné sous la forme d'un message "Quasi-WM" comportant le haché du WP qui le lui a sous-traité.
Avantageusement, cette architecture prévoit que les traitements du processeur (PROCESSOR) sont légers et que les émissions de messages WM et Non-WM sont non-bloquants :
• Non-bloquant: Une réponse d'un WN par rapport à un WM est un autre WM qui fait référence au premier. N'est pas bloquante non plus l'exécution d'un WP en attente de la réponse de "User" ou "Network" à un message "Non-WM" émis— "User" étant le terminal de l'utilisateur
(tel qu'un ordinateur) et "Network" représentant un dispositif distant (tel qu'un ordinateur)— ces messages étant des appels asynchrones dont le retour (callback) est transformé en un message "Quasi-WM".
• Léger: Lorsqu'un WP doit effectuer un traitement qui n'est pas léger (par exemple, multiplier deux matrices d'une centaine de lignes fois une centaine de colonnes), il le sous-traite (par un message "Non-WM" à un ordinateur apte à exécuter des traitements dans un environnement sécurisé (tel que l'enclave SGX des nouveaux microprocesseurs Intel) et apte à retourner une attestation d'authenticité et d'intégrité de l'exécution [https://software.intel.com/en- us/articles/intel-software-guard-extensions-remote-attestation-end-to-end-example].
Le but des messages "HTTPS" émis par un WN est de lui permettre d'accéder à une source de données (dans un site Web "de confiance") en protocole HTTPS de bout en bout. Pour ce faire, le WN prend en charge les handshakes TLS (pouvant être mis en œuvre en utilisant une librairie telle que "mbed TLS" [https://tls.mbed.org/] dont les modules sont faiblement couplés et qui permette d'en utiliser des parties sans avoir à inclure la bibliothèque totale) et performe toutes les opérations cryptographiques, en laissant au terminal auquel il est couplé le rôle d'interface d'entrée/sortie prenant en charge les couches basses (TCP), pour assurer l'intégrité desdites données de bout en bout.
Avantageusement, comme pour les traitements "non légers" (qui sont sous-traités par messages Non- WM), les messages en HTTPS considérés "bloquants" sont sous-traités à un ordinateur apte à retourner une attestation d'authenticité et d'intégrité d'exécution (enclave SGX). En pratique, les messages HTTPS émis qui s'avèrent être bloquants (après une durée égal à un seuil donné) sont annulés et sous-traités d'office.
Le fait que les messages soient légers et non-bloquants permet une mise en œuvre des WN ne nécessitant pas la technologie la plus récente de fabrication de chips et la met à la portée d'un plus grand nombre de fabricants de WN (et en baisse le cout), tendant ainsi à favoriser la décentralisation même au niveau des fabricants, ce qui est un des buts visés par l'invention. On décrit plus loin des classes d'applications (à la section "marché de connaissances sans tiers de confiance").
Enfin, la figure 23 montre que les WM sont susceptibles de transférer des valeurs (tags), sous forme de transactions (tx) ce qui est décrit plus loin aux sections « Tags », « CMMU - Crypto Memory Management Unit » et « Perfectionnements aux CCC ».
On va maintenant décrire en détail un certain nombre d'aspects et caractéristiques de systèmes basés sur de tels WN.
Identité décentralisée On va tout d'abord décrire un procédé pour attribuer à un WN un poids de connexion, basé sur des identifications entre utilisateurs de WN en parcourant différents chemins du graphe, puis différents procédés utilisant de tels poids de connexion. Communication sur Out-of-Band-Channel
Pour s'identifier de manière décentralisée, des individus peuvent, via des terminaux intelligents respectifs, s'échanger leurs clés publiques respectives directement et se confirmer les uns les autres les attributs qui y sont associés. Il est essentiel à cette étape de se protéger d'une attaque de personne interposée dite MitM (« Man in the Middle attack » en terminologie anglo-saxonne). Un exemple de méthode pour que deux individus s'échangent leurs clés sans risque de MitM (méthode adaptable pour n individus) est le suivant :
1. Un premier utilisateur (et son terminal, par exemple un téléphone mobile) s'approche d'un autre utilisateur et lui montre un Nonce (un nombre aléatoire servant une seule fois), présenté sous forme d'un QR code généré dans son terminal à partir de ce Nonce.
2. Ledit autre utilisateur (qui se trouve à proximité, au moyen de son terminal) photographie ce QR code, l'interprète pour reconstituer ce Nonce, calcule son haché (par haché on entend le résultat de l'application d'une fonction de hachage cryptographique prédéterminée commune), et retourne au premier utilisateur sa propre clé publique en clair et sa signature (du haché) dudit nonce. (A noter que, au lieu - ou en plus - du QR code, un « passphrase » secret peut être communiqué par oral, ceci peut se faire par téléphone si l'autre utilisateur n'est pas à proximité, et l'autre utilisateur calcule dans son terminal le haché de ce « passphrase » au lieu du haché du Nonce, puis en retourne sa signature avec sa clé.)
3. Le terminal du premier utilisateur vérifie la signature par rapport à la clé reçue et au Nonce (et/ou passphrase) et enregistre la clé (publique) de l'autre utilisateur.
4. Dans la mesure où leurs terminaux sont fiables (voir la description des Wallet Nodes dans WO2016120826A2), les deux utilisateurs peuvent maintenant se communiquer des informations chiffrées (optionnellement en générant/utilisant une clé symétrique commune par Diffie-Hellman) - à commencer bien sûr par la communication par le premier utilisateur de sa clé publique (chiffrée au moyen de la clé publique de l'autre utilisateur). Ces communications incluent aussi des clés d'autres utilisateurs que chaque utilisateur a pu auparavant recevoir en utilisant la même méthode ou des clés communiquées par encore d'autres utilisateurs à ces autres utilisateurs par la même méthode, et ainsi de suite.
On dit que le nœud dudit premier utilisateur est "IRL-connecté" (IRL pour "In Real Life") au nœud de chacun desdits autres utilisateurs lui ayant communiqué sa clé par la méthode décrite ci-dessus, chaque nœud étant identifié par sa clé publique (ou une adresse qui en est dérivée).
Dans la mesure où (comme mentionné ci-dessus) les nœuds se communiquent aussi entre eux des clés de nœuds qui ne sont pas IRL-connectés mais indirectement connectés via un ou plusieurs nœuds intermédiaires, chaque nœud peut reconstituer une partie du réseau, constituant son "entourage", et associer à chaque nœud de l'entourage un "poids de connexion".
On va maintenant décrire plusieurs formes de réalisation d'un procédé de détermination, par un premier nœud (NI, l'utilisateur), des poids respectifs de connexion (vis-à-vis du premier nœud) des nœuds (appelés tous « deuxième nœud ») constituant son entourage.
Les procédés sont illustrés par un exemple de 8 IRL-connections (ou "connections réelles") dans l'entourage d'un nœud NI, composé de six nœuds (en incluant NI) dont il s'agit donc de déterminer le poids de connexion. Les connexions sont bidirectionnelles et les traits pleins représentent des IRL- connections.
Ces procédés sont mis en œuvre selon des paramètres de configuration (tels que des seuils ou des coefficients de pondération), qui avantageusement peuvent être affinés par apprentissage. A noter que la demande WO2016120826A2 qui est ici incorporée par référence décrit comment compléter un tel processus d'identification décentralisée, sur la base notamment d'attributs d'utilisateurs reconnus par d'autres utilisateurs et s'appuyant sur le graphe de WN.
De telles méthodes peuvent être combinées entre elles.
Poids de connexion par distillation
Le procédé est mis en œuvre par le premier nœud (NI), qui associe à chaque nœud de son entourage un poids de connexion et un facteur d'influence (qui sont implicitement égaux à zéro par défaut). Initialement, le premier nœud a un facteur d'influence égal à 1 (et tous les autres nœuds ont implicitement un facteur d'influence nul). Le procédé comprend les étapes suivantes :
Etape 1 : Le poids de connexion de chaque deuxième nœud est la somme normalisée des facteurs d'influence des nœuds (dits « troisièmes nœuds ») qui lui sont IRL-connectés (ou auxquels il est IRL- connecté), ajoutée à son poids de connexion précédent. Les poids de connexion sont ensuite normalisés à nouveau (c'est-à-dire divisés par 2).
Etape 2 : Le facteur d'influence de chaque troisième nœud est la somme normalisée des poids de connexion des (deuxièmes) nœuds qui lui sont IRL-connectés.
Etape 3 : le processus est répété à partir de l'étape 1 jusqu'à convergence (c'est-à-dire tant que la différence entre les derniers poids de connexion déterminés à l'étape 2 et les poids de connexion précédents reste supérieure à un seuil).
La Figure la présente un exemple d'IRL-connexions entre nœuds. Les poids de connexion résultant du procédé, associés par le premier nœud aux nœuds de son entourage sont indiqués sur chaque nœud. On remarque que le nœud 3 qui est IRL-connecté a un poids de connexion (égal à 0,15) inférieur à celui du nœud 5 (0,21) qui ne l'est pas, ceci étant dû au fait que ce dernier est indirectement connecté via le cluster des nœuds 1 et 6.
Avantageusement, le premier nœud (l'utilisateur) ne va accepter des messages (WM) que de la part de nœuds dont le poids de connexion est supérieur ou égal au plus petit poids de connexion parmi les poids de connexion des nœuds avec lesquels il est IRL-connecté. Autrement dit, pour l'utilisateur, les messages (WM) de la part de nœuds dont le poids de connexion est inférieur aux poids de connexion de tous les nœuds IRL-connectés au premier nœud ne sont pas valides. Ainsi, dans l'exemple de la Figure la, NI accepte les messages (WM) qui arriveraient de n'importe quel nœud de son entourage sauf du nœud 4 (dont le poids de connexion, qui est de 0,12, est inférieur aux poids de connexion de tous les nœuds IRL-connectés au premier nœud, à savoir les nœuds 1, 3 et 6).
A noter que la validation de WM pourra être mise en œuvre avec un coefficient appliqué aux poids de connexion (déterminé selon les paramètres de configuration, comme déjà dit). Ainsi, ne sont pas valides les messages (WM) de la part de nœuds dont le poids de connexion multiplié par un coefficient donné est inférieur aux poids de connexion de tous les nœuds IRL-connectés au premier nœud.
La Figure lb présente ces mêmes nœuds placés dans un ensemble de deuxièmes nœuds ("2d nodes") et troisièmes nœuds "3rd nodes"). Les facteurs influence respectifs des troisièmes nœuds et les poids de connexion respectifs des deuxièmes nœud sont indiqués entre parenthèses en ce qui concerne leurs valeurs à la première itération, et en souligné lorsqu'ils ont convergé.
Enfin, à l'étape 1 de ce procédé, un coefficient (déterminé selon les paramètres de configuration, notamment selon la taille de l'entourage) pourra avantageusement être appliqué auxdits poids de connexion précédents avant ajout.
Poids de connexion comme proximité
Selon cette variante, un premier nœud (l'utilisateur) attribue un "poids de connexion" à un deuxième nœud sur la base du nombre de nœuds intermédiaires menant à lui (et de paramètres de configuration).
Par exemple, au premier nœud lui-même est associé un poids 1, aux nœuds IRL-connectés au premier nœud sont associés un poids de 0.5, aux nœuds IRL-connectés à ces derniers un poids de 0.25, et ainsi de suite en les divisant par deux (si tel est le paramètre] à chaque ajout d'un nœud intermédiaire supplémentaire.
Chaque chemin supplémentaire menant à un même nœud augmente davantage le poids de connexion associé à ce nœud. Par exemple, si à un nœud auquel est associé un poids de connexion courant de 0.25, un autre chemin apporte 0.12, le facteur associé à ce nœud est augmenté de la moitié de cet apport supplémentaire (si tel est le paramètre), i.e. 0.25+0.12/2=0.31 (à l'apport le plus fort est ajouté la moitié de l'apport supplémentaire).
Le poids de connexion est normalisé. La Figure 2a montre un exemple de poids de connexion "proximité" à un nœud NI, associés par ce nœud aux nœuds de son entourage.
Procédé mixte
Un premier nœud (l'utilisateur) attribue un "poids de connexion" à un deuxième nœud comme suit : Parmi les nœuds de l'entourage du premier nœud,
plus il y a de troisièmes nœuds qui sont IRL-connectés au deuxième nœud
et plus ils sont proches du premier nœud,
plus grand est le poids de connexion du premier nœud au deuxième,
Yinfluence les troisièmes nœuds étant aussi fonction des poids de connexion des deuxièmes nœuds qui leurs sont IRL-connectés.
Comme pour le procédé "Poids de connexion par distillation", cette définition circulaire nécessite un procédé itératif, par affinages successifs jusqu'à convergence (ou quasi-convergence, c'est-à-dire jusqu'à que le gain d'une itération supplémentaire devienne négligeable), procédé où un même nœud peut tour à tour jouer le rôle de deuxième et troisième nœud.
Une mise en œuvre du procédé peut comprendre les étapes suivantes :
Etape 1 : A chaque nœud de l'entourage de l'utilisateur est associé un facteur proximité (proximité au premier nœud) sur la base de paramètres de configuration, comme décrit à la section précédente "Poids de connexion comme proximité".
Etape 2 : A chaque (deuxième) nœud de l'entourage de l'utilisateur est associé un poids de connexion égal à la somme (normalisée) des proximités respectives des (troisièmes) nœuds qui y sont IRL- connectés.
Etape 3 : A chaque (troisième) nœud de l'entourage de l'utilisateur est (re-)associé un facteur influence égal à la somme des poids de connexion des (deuxièmes) nœuds de l'entourage de l'utilisateur. Ce facteur est normalisé.
Etape 4 : A chaque (deuxième) nœud de l'entourage de l'utilisateur est associé un nouveau poids de connexion égal à la somme normalisée (sur nœuds IRL-connectés au deuxième nœud) des produits "influence*proximité",
le produit "influence*proximité" étant normalisé, c'est-à-dire égal à la somme normalisée des influences respectives des (troisièmes) nœuds de l'entourage de l'utilisateur qui sont IRL-connectés au deuxième nœud pondérées par leurs proximités respectives au premier nœud (ou autre combinaison de ces facteurs, telle que celle décrite plus bas).
Etape 5 : Répéter à partir de l'Etape 3 tant que la différence entre les derniers poids de connexion déterminés à l'étape 4 et les poids de connexion précédents reste supérieure à un seuil (basé sur des paramètres de configuration).
Ce procédé est illustré aux Figures 2a et 2b sur le même exemple d'un entourage de 6 nœuds dont il s'agit de déterminer le poids de connexion.
La Figure 2a représente les nœuds de l'entourage de l'utilisateur avec leurs facteurs proximité respectifs (calculés à l'Etape 1) par rapport au premier nœud (identifié par « 2 »), facteurs indiqués en italiques.
La Figure 2b représente ces mêmes nœuds dans deux ensembles: l'ensemble des troisièmes nœuds ("3rd nodes") et l'ensemble des deuxième nœuds ("2nd nodes"). Cette figure indique (entre parenthèses) un poids de connexion initial (calculé à l'Etape 2, par rapport au premier nœud) pour chaque deuxième nœud (comme étant la somme des proximités respectives des troisièmes nœuds qui y sont IRL-connectés). Le facteur influence initial (calculé à la première exécution de l'étape 3) est indiqué entre parenthèses à gauche de chaque troisième nœud (ce facteur est égal à la somme des poids de connexion des nœuds auxquels le troisième nœud est IRL-connecté). Le poids de connexion (par rapport au premier nœud) calculé à l'Etape 4 après convergence est indiqué en souligné (dans 2d nodes).
Dans cet exemple, le poids de connexion initial de valeur 0,09 pour le nœud « 4 » (qui est indiqué entre parenthèses à la Figure 2b dans les deuxièmes nœuds) est obtenu en additionnant les facteurs proximité des nœuds « 3 » et « 5 » (indiqués à la Figure la) puis en divisant le résultat de cette addition par le total des poids de connexion afin de les normaliser (0,14+0, 12)/2, 76=0, 09). Le facteur influence initial de valeur 0,09 associé au nœud « 3 » (qui est indiqué entre parenthèses à la Figure 2b dans les troisièmes nœuds) est obtenu en additionnant les poids de connexion initiaux des nœuds « 2 » et « 4 » (qui sont indiqués entre parenthèses à la Figure 2a dans les deuxièmes nœuds) puis en divisant le résultat de cette addition par le total des facteurs influence afin de les normaliser (0, 18+0, 09)/2, 96=0, 09). Dans les étapes ultérieures le poids de connexion est obtenu en sommant (et en normalisant) les produits "influence*proximité". Le procédé converge ici en trois étapes pour fournir la valeur 0,1 pour le facteur influence final associé au nœud « 3 » (indiquée en souligné à la Figure 2b dans les troisièmes nœuds) et la valeur 0,05 pour le poids de connexion final du nœud « 4 » (indiqué en souligné à la Figure 2b dans les deuxièmes nœuds). Quant au poids de connexion final du nœud 5, le procédé converge en la valeur 0,13, égale à celle pour le nœud 3.
Enfin, en dernière variante, à l'étape 4 du procédé mixte, le terme "influence*proximité" de l'expression de calcul du poids de connexion peut être remplacé par une expression de type "lambda*influence + (l-lambda)*proximité", le coefficient lambda pouvant typiquement prendre la valeur 0,5. Avantageusement, à chaque itération à l'étape 5, ce coefficient est augmenté, le facteur proximité (proximité au premier nœud) de chaque troisième nœud laissant ainsi la place progressivement aux poids de connexion au premier nœud des deuxièmes nœuds qui lui sont IRL- connectés.
Différentes formes de réalisations d'un procédé de détermination des poids de connexion, telles que celles présentées ci-avant ou dans la demande WO2016120826A2, peuvent être combinées. Avantageusement, leurs résultats peuvent être pondérés selon des coefficients affinés par apprentissage. Ces résultats permettent au premier nœud (l'utilisateur) de valider d'autres nœuds dans le cadre des différents procédés présentés dans ce texte.
Communication de clé en redondance
Les poids de connexion permettent d'utiliser une méthode de connexion analogue à celle décrite plus haut à la section "Communication sur Out-of-Band-Channel" , mais de manière automatique, si l'on utilise une pluralité de nœuds en redondance.
Un procédé mettant en œuvre cette méthode est décrite ci-dessous sur un exemple d'échange de clé entre un premier nœud (Alice) et un deuxième nœud (Bob) via des nœuds intermédiaires ayant un fort poids de connexion vis-à-vis du premier nœud. Pour cette mise en œuvre, les WN correspondant à ces nœuds sont aptes à recevoir ou émettre des messages sur une pluralité de canaux (tels que SMS, email, etc.). Ce procédé comprend les étapes suivantes :
1. Le WN de Alice sélectionne N nœuds intermédiaires parmi ceux ayant les plus grands poids de connexion au nœud d'Alice et de préférence ayant, le cas échéant, les plus grands poids de connexion au nœud de Bob (ici trois nœuds intermédiaires sont sélectionnés (N=3), ce nombre étant déterminé selon des paramètres de configuration, en fonction notamment de la valeur de ces poids de connexion), et leur communique de manière chiffrée un Nonce à communiquer au nœud de Bob; 2. Les WN desdits nœuds intermédiaires utilisent un canal séparé et aisément automatisable, tel que des SMS, pour communiquer (en redondance] ce même Nonce au nœud de Bob, ainsi que leurs clés publiques respectives (c'est d'autant mieux s'ils utilisent des canaux différents entre eux);
3. Le WN du nœud de Bob détecte l'arrivée de ces Nonces et retourne, auxdits nœuds intermédiaires, sa signature de ce Nonce et sa clé publique chiffrée au moyen des clés publiques de ces derniers;
4. Les WN desdits nœuds intermédiaires vérifient la signature par le nœud de Bob de ce Nonce (en la décryptant avec sa clé publique et en en vérifiant le hash) et, en cas de succès, communiquent au WN d'Alice la clé du nœud de Bob signée par eux-mêmes et chiffrée avec la clé publique d'Alice;
5. Le WN d'Alice enregistre alors la clé du nœud de Bob et peut alors échanger avec ce nœud des informations chiffrées.
Les clés ainsi échangées peuvent alors représenter des connexions d'autant plus sûres que lesdits poids de connexion desdits nœuds intermédiaires sont forts et que leur nombre est significatif. Les connexions avec les nœuds pour lesquels lesdits nœuds intermédiaires ont des poids de connexion forts et sont en nombre suffisant sont marqués « quasi-réelles » et le procédé de détermination de poids de connexion (tels que ceux décrits plus haut : « Poids de connexion par distillation », « Poids de connexion comme proximité » et « Procédé mixte »] les assimilent à des IRL-connexions, à un coefficient près.
Avantageusement, à l'étape 1 du procédé ci-dessus, au lieu que ce soit le WN d'Alice qui génère ledit Nonce individuellement, ce Nonce est généré conjointement avec les WN desdits nœuds intermédiaires sélectionnés. Ce procédé complémentaire est aussi automatique et comprend les étapes suivantes :
1. génération d'un nonce par chacun desdits WN des N nœuds sélectionnés ainsi que par le WN d'Alice (chacun génère un nonce séparément et le garde secret jusqu'à l'étape 3);
2. échange (de manière chiffrée) entre ces WN, de hachés desdits nonces respectifs qu'ils ont générés (sans encore dévoiler les nonces eux-mêmes);
3. échange (de manière chiffrée) entre ces WN, des nonces en clair et chaque nœud récepteur vérifie que les nonces reçus correspondent bien aux hachés respectifs reçus à l'étape 2;
4. génération du Nonce final (celui à communiquer à Bob) par combinaison, selon une règle commune préconvenue (telle que de simples opérations arithmétiques), desdits nonces respectifs qu'ils ont générés.
Par ailleurs, à l'étape 2 du procédé de "Communication de clé en redondance », les nœuds intermédiaires ne communiquent pas simplement un même Nonce final au nœud de Bob, mais communiquent aussi lesdits nonces respectifs qu'ils ont chacun générés séparément (comme décrit ci- dessus); à l'étape 3 Bob signe l'ensemble de ces nonces reçu ; ce qui permet aux N nœuds intermédiaires de s'assurer à l'étape 4 que Bob a bien reçu les N nonces qu'ils lui ont communiqués au total.
Avantageusement, dans le cas où, de part et d'autre, les poids de connexion d'un nombre suffisant de nœuds intermédiaires sont forts (vis-à-vis d'Alice et vis-à-vis de Bob), le WN du premier nœud (Alice) obtient la clé du deuxième nœud (Bob) directement à partir de ces nœuds intermédiaires.
Exploiter un réseau Social existant
On va maintenant décrire une application « app WN » sur un réseau social. L'utilisateur "Alice" de cette app en constitue l'un des nœuds. Cette app est apte à recevoir et émettre des messages sur une pluralité de canaux (tels que SMS, email, etc.).
A l'installation, l'app WN :
· génère sa paire de clés privée/publique (à moins que l'app WN soit couplée avec un hard WN
(système-sur-puce ou enclave, décrits plus loin, auquel cas cette paire de clés existe déjà),
mémorise une liste de nœuds "amis" ("Friends") directement connectés, fournie par le réseau social :
Friends(Alice) et détermine (par requêtes aux amis) quels sont les amis qui ont l'app WN installée (et les amis qui ne l'ont pas sont invités à l'installer) :
FriendsWN (Alice)
Dans la mesure ou certains nœuds sont IRL-connectés et servent d'intermédiaires, le poids de connexion d'un ami peut être déterminé selon le procédé décrit plus haut, être ajouté comme attribut dans ladite liste des nœuds amis et être rendu accessible à partir de cette liste. Ainsi, les amis ayant un poids de connexion supérieur à un seuil donné (ce seuil étant déterminé selon des paramètres de configuration) peuvent être retrouvés par un appel de fonction tel que le suivant :
F rien ds WNConn ected(A lice)
Pour être IRL-connecté à un nœud ami "Bob" faisant partie de FriendsWN(Alice), Alice peut lui communiquer via un Out-of-Band-Channel un Nonce que Bob doit lui retourner signé, comme décrit plus haut.
Cependant, le réseau social peut être exploité pour communiquer la clé de l'app WN du nœud Bob selon un procédé automatique (simplement en étendant le procédé décrit à la section "Communication de clé en redondance") :
1. L'app WN du nœud Alice sélectionne N amis, parmi les éléments de l'intersection entre FriendsWNConnected(Alice) et FriendsWN (Bob), ayant les plus grands poids de connexion au nœud d'Alice et de préférence ayant aussi les plus grands poids de connexion au nœud de Bob (ici N=3, ce nombre N étant déterminé selon des paramètres de configuration, en fonction notamment de la valeur de ces poids de connexion), et leur communique de manière chiffrée un Nonce à communiquer à l'app WN du nœud Bob;
2. Les app WN respectifs de ces amis utilisent un canal séparé et aisément automatisable, tel que des SMS, pour communiquer (en redondance) ce même Nonce à l'app WN de Bob, ainsi que leurs clés publiques respectives (c'est d'autant mieux si ces amis utilisent des canaux différents entre eux); 3. L'app WN de Bob détecte l'arrivée de ces Nonces et publie dans le réseau social (sur son mur) sa clé publique et sa signature de ce Nonce— de plus, facultativement, l'app WN de Bob retourne directement, aux app WN desdits trois amis d'Alice, sa signature de ce Nonce et sa clé publique chiffrées au moyen des clés publiques de ces derniers;
4. Les app WN respectifs desdits trois amis d'Alice vérifient la signature par l'app WN de Bob de ce Nonce (en la décryptant avec sa clé et en en vérifiant le hash) et, en cas de succès, communiquent à l'app WN d'Alice la clé du nœud de Bob signée par eux-mêmes et chiffrée avec la clé publique d'Alice (avantageusement en plus il certifient cette clé en en publiant leur propre signature sur le mur de Bob);
5. L'app WN d'Alice vérifie alors (double-check) la clé du nœud de Bob en décryptant sa signature publiée sur son mur avec cette clé et en en vérifiant le hash du Nonce, enregistre la clé du nœud de Bob et peut maintenant, en cas de succès, échanger avec le nœud de Bob des informations chiffrées.
Ici encore, les connexions avec les nœuds pour lesquels lesdits amis ont des poids de connexion forts et sont en nombre suffisant sont marqués « quasi-réelles » et le procédé de détermination de poids de connexion les assimilent à des IRL-connexions, à un coefficient près.
Avantageusement, la clé publique de Bob publiée par Bob dans le réseau social est en permanence accessible par au moins tous les nœuds connectés à Bob en tant qu'amis.
Et ici encore, avantageusement, à l'étape 1 du procédé ci-dessus, au lieu que ce soit l'app WN d'Alice qui génère ledit Nonce individuellement, ce Nonce est généré conjointement avec les app WN desdits nœuds amis sélectionnés. Ce procédé complémentaire est le même que celui présenté plus haut, à ceci près que les WN sont ici des app WN.
Puis comme aussi décrit plus haut, lesdits N amis vont aussi communiquer à Bob les nonces différents (respectivement) à partir desquels le nonce final a été généré, ce qui leur permettra de vérifier que Bob a bien reçu les N nonces qu'ils lui ont communiqués au total. Enfin, dans le cas où, de part et d'autre, les poids de connexion d'un nombre suffisant de n uds intermédiaires sont forts (vis-à-vis d'Alice et vis-à-vis de Bob), le WN du premier nœud (Alice) obtient la clé du deuxième nœud (Bob) directement à partir de ces nœuds intermédiaires. Ainsi, pour se connecter à l'app WN d'un nœud "Bob", un nœud "Alice" peut lui demander (par message WM) ses amis ayant un fort poids de connexion :
FriendsWNConnected(Bob),
en prendre l'intersection avec ses propres amis fortement connectés :
F rien ds WNConn ected(A lice],
et si cette intersection n'est pas nulle, demander la clé de Bob à un sous-ensemble de cette intersection composé des amis sélectionnés parmi ceux ayant les plus grands poids de connexion.
WN Miroirs
Avantageusement, on crée une redondance pour chaque nœud avec des "nœuds miroirs" dans lesquels les données sont tenues synchronisés et dont certains effectuent les traitements en miroir, pour en même temps :
pallier la « non-responsiveness » et
mitiger le risque de violation (« tampering »).
Définition:
Un "nœud" (Wallet Node) est maintenant un nœud virtuel (noté VWNX pour « virtual wallet node » de l'utilisateur x), matérialisé par une pluralité de nœuds miroirs comprenant:
un nœud réel RWN (correspondant audit nœud virtuel) et
un ensemble de nœuds contresignataires CWN.
Dans cet aspect de l'invention, deux nœuds (WN) ne peuvent être liés par des « smart contracts » (cf. les smart contracts "Wallet Program" (WP) décrits dans la demande PCT WO2016120826A2) s'exécutant sur leurs nœuds respectifs, que seulement :
s'ils sont associés chacun à un nombre supérieur à un premier seuil donné de nœuds miroirs communs ayant des poids de connexion (vis-à-vis de chacun de ces deux nœuds) qui soient supérieurs à un deuxième seuil (seuils déterminés selon des paramètres de configuration) et
lorsque deux nœuds interagissent par exécution d'un smart contract (WP), un message (WM) envoyé de l'un à l'autre n'est valide que si au moins 10% (ou autre pourcentage aussi déterminé selon des paramètres de configuration, ou un nombre donné aussi déterminé selon des paramètres de configuration) de nœuds miroirs communs ont exécuté ce contrat à l'identique ("en miroir") et ont émis un message (WM) identique à destination de l'autre nœud.
En d'autres termes, un nœud destinataire d'un message (WM) ne valide ce message que si les ensembles respectifs de nœuds miroirs des nœuds émetteur et destinataire ont une intersection dont le nombre d'éléments est supérieur à un premier seuil donné et si le nœud destinataire a reçu ce même message (en redondance) de la part d'au moins un nombre donné ou une fraction donnée (correspondant à un second seuil, toujours en fonction des paramètres de configuration) desdits nœuds miroirs appartenant à cette intersection.
Par exemple, l'app WN réel du nœud Bob ne va considérer comme valide un message WM envoyé par l'app WN réel du nœud Alice que s'il reçoit aussi ce message émis (au nom du nœud Alice) de la part d'au moins 10% de leurs nœuds miroirs en commun (qui sont par exemple aussi des app WN).
Chaque nœud exécutant des Wallet Programs synchronise ses données, à savoir: les variables PSV - Program State Variables - et NSV - Node State Variables, ainsi que ses "Tags" (décrits plus loin) sur l'ensemble de ses nœuds miroirs, cet ensemble incluant l'union de tous les ensembles respectifs de nœuds miroirs qui sont en commun avec les nœuds avec lesquels ledit chaque nœud a un Wallet Program actif.
Lesdites synchronisations de données s'effectuent : en partie par envoi (par Wallet Program) de message WM qui déclenchent la mise à jour des données (PSV, NSV et tags] par des (mêmes] Wallet Programs qui s'exécutent sur les nœuds receveurs et,
pour les nœuds qui ne les reçoivent pas, les données sont synchronisées directement par des WM de notification de mise-à-jour de données.
Chaque nœud synchronise la liste de ses nœuds miroirs avec les nœuds avec lesquels il a un poids de connexion supérieur à un seuil, et lesdites synchronisations de données s'y effectuent par rapport à ces listes de nœuds miroirs. La synchronisation des listes s'effectue par des WM correspondants. La Figure 3a illustre la propagation d'un WM à partir d'un VWN1 donné vers un VWN2 destinataire. Les nœuds miroirs RWN1, CWN1 mémorisent chacun la liste L2 des nœuds miroirs de VWN2 afin de pouvoir aiguiller le WM de contenu identique pour tous les nœuds miroir d'émission et les nœuds miroir de destination.
La Figure 3b décrit de manière plus fine les envois de messages entre nœuds miroirs. Elle montre, parmi les ensembles de nœuds contresignataires en commun, CWNAB entre les nœuds d'Alice et Bob d'une part, et CWNBC entre les nœuds de Bob et Cari d'autre part, Yunion de ces deux ensembles (+ le nœud réel de Bob RWNB) étant l'ensemble des nœuds miroirs du nœud de Bob qui sont synchronisés suite à n'importe quel message WM envoyé au nœud de Bob.
Ainsi, les nœuds d'Alice et Cari connaissent chacun non seulement leurs nœuds miroirs respectifs en commun avec le nœud de Bob, mais l'ensemble entier de nœuds miroirs du nœud Bob (grâce à la synchronisation de liste de nœuds miroirs évoqué plus haut).
La Figure 3b montre aussi un message WM généré par le nœud d'Alice suite à une interaction avec l'utilisateur (Alice), message WM qui doit être envoyé au nœud de Bob. En premier, un message d'annonce (noté PWM pour « pre-wallet-message ») du message WM est envoyé par le nœud réel d'Alice RWNA aux nœuds miroirs d'Alice CWNAB qui sont en commun avec le nœud de Bob (un seul PWM étant illustré pour ne pas alourdir la figure), et les autres nœuds CWNXA d'Alice reçoivent un message de synchronisation de données (noté DSM pour « data sync message ») . Ensuite, le nœud réel d'Alice RWNA, ainsi que chacun desdits nœuds contresignataires CWNAB en commun avec le nœud de Bob, envoient le message WM en question au nœud de Bob, c'est-à-dire au nœud réel de Bob RWNB et aux nœuds contresignataires du nœud de Bob (seule une partie de ces messages WM étant illustré pour ne pas alourdir la figure).
On notera ici que lorsqu'un tel WN doit être envoyé par un CWN à lui même, il n'est pas émis (ici CWNAB n'envoie pas le WN à lui-même).
La Figure 3c montre une phase de tentative de synchronisation de l'ensemble des nœuds miroirs (RWNB, CWNAB, CWNBC) de Bob via des messages de type DSM, dans une situation où le nœud réel RWNB est non responsif pour une raison ou une autre.
La Figure 3d montre enfin un message WM' envoyé par le nœud VWNB au nœud de Cari VWNc, message généré non pas suite à une interaction du nœud réel de Bob avec son utilisateur (Bob), mais suite audit message WM reçu du nœud d'Alice (généré par les instructions du WP exécuté). Dans ce cas, les nœuds miroirs qui ont effectivement reçu ce message du nœud d'Alice sont aptes à générer ledit message au nœud de Cari (par l'exécution de ce WP). La Figure 3d montre toutefois que le nœud réel de Bob est non-responsif et n'émet donc pas le message WM' (ce qui est représenté par un « ! » sur la figure), et que malgré cela, les autres nœuds miroirs du nœud de Bob envoient ce message au nœud de Cari VWNc (ce qui résout le problème de non-responsiveness).
Enfin, de nouveau, comme le message WM' est émis (par le nœud de Bob) non pas suite à une interaction avec l'utilisateur mais par l'exécution d'un smart contrat WP (sur ce nœud de Bob) en réaction à un message WM (reçu du nœud d'Alice), chacun des nœuds miroirs de VWNc qui reçoivent WM' va requérir la réception d'un message identique de la part de 10 % (ou autre pourcentage déterminé selon des paramètres de configuration) de nœuds miroirs CWNBC en commun avec ce nœud (de Bob). Cari peut ainsi compter sur le fait que ledit message a bien été généré, et bien été généré par le smart contract WP en question qui n'a pas été altéré (on résout ainsi le problème de garantie d'engagements].
On va maintenant décrire un processus de sélection de nœuds miroirs.
Pour chaque nœud, les poids de connexion des nœuds miroirs sont chacun supérieurs ou égal au plus petit poids de connexion des nœuds IRL-connectés (ou en connexion quasi-réelle) de son entourage. Avantageusement, un coefficient pourra y être appliqué : le poids de connexion de chaque nœud miroir doit être supérieur ou égal au plus petit poids de connexion multiplié par un coefficient (déterminé selon les paramètres de configuration], parmi les poids de connexion des nœuds avec lesquels il est IRL-connecté (et par un autre coefficient pour les nœuds en connexion quasi-réelle). Parmi lesdits nœuds miroirs communs entre un nœud émetteur et un nœud récepteur d'un WM, au moins un (ou un certain nombre, selon les paramètres de configuration) en est un hard WN (un hard WN est un SoC tel que décrit dans la demande PCT WO2016120826A2 et plus loin à la section "CM U", ou une enclave telle que décrite aux sections « Réseau mixte SoCs WN et Enclaves WN », « Réseau mixte SoCs WN et Body Enclaves » ou un Body SoC tel que décrit à la section « Réseau mixte Body SoC et Body Enclaves »), la clé publique (correspondant à la privée secrète) de chaque hard WN étant certifiée par son fabricant, et ces hard Wallet pouvant être de fabricants différents— toutefois, les messages échangés entre nœuds ne sont valides que si les nœuds de leurs fabricants sont eux- mêmes liés par des nœuds miroirs de fabricants en commun (voir la description ci-après).
En cas d'un conflit détecté pour des nœuds miroir d'un nœud donné (conflit détecté lors des synchronisations entre les nœuds miroirs associés à un nœud, ou suite à la réception de WM non- compatibles de la part de nœuds miroirs dudit nœud donné, etc.), le nœud qui détecte ce conflit notifie l'information des clés des nœuds miroirs qui sont en conflit à leurs fabricants respectifs et ces clés sont alors révoquées chez ces fabricants. Ensuite, suite à leur recyclage, elles sont remplacées. Ceci est mis en œuvre selon les étapes suivantes :
à chaque fabricant est associé un hard WN le représentant et dont il est lui-même le fabricant
(certifiant sa propre clé publique);
chaque nœud de fabricant est IRL-connecté au nœud de chaque autre fabricant lui ayant communiqué sa clé par la méthode décrite à la section "Communication sur Out-of-Band-Channel", dont certains lui communiquant aussi des clés d'autres nœuds de fabricants qui sont ainsi indirectement connectés, chacun constituant ainsi son entourage, à chaque nœud de l'entourage étant associé un poids de connexion comme décrit plus haut;
pour qu'un WM quelconque soit validé par son nœud destinataire, les ensembles respectifs de nœuds miroirs du nœud fabricant du nœud émetteur d'une part et du nœud fabricant du nœud destinataire d'autre part doivent avoir une intersection dont le nombre d'éléments est supérieur à un seuil donné (ceci en plus des deux conditions spécifiées plus haut concernant les nœuds miroirs des nœuds émetteur et destinataire) — le nombre de nœuds miroir de ladite intersection étant avantageusement pondéré par le nombre de hard WN actifs fabriqués par les fabricants respectifs de ces nœuds miroirs de fabricant (Cf. « Poids de fabricants » plus bas) ;
en cas de conflit (lors d'une synchronisation (par message DSM), ou lors d'une réception de WM non-compatibles de la part de nœuds miroirs d'un même nœud émetteur, etc.), l'information des clés des nœuds miroirs qui sont en conflit est communiquée par envoi de messages (WM) aux nœuds de leurs fabricants respectifs (et s'ils sont différents, à leurs nœuds miroirs respectifs);
les nœuds de fabricant (c'est-à-dire leurs miroirs) enregistrent dans une liste de révocation les clés de nœuds miroirs en conflit;
les nœuds miroirs en conflit qui sont hard WN sont remplacés par leurs fabricants respectifs; dans le cas où le conflit est résolu, ladite synchronisation (DSM) et/ou le message WM qui, le cas échéant, était suspendu car en conflit, est reprise/renvoyé, respectivement;
dans le cas où le conflit persiste, la majorité des hard WN est considérée comme faisant foi et les nœuds miroirs qui en diffèrent sont invalidés et blacklistés. L'information des nœuds blacklistés est immédiatement communiquée aux nœuds de l'entourage de l'utilisateur et de ceux-ci aux nœuds de leurs propres entourages, et ainsi de suite (et le procédé peut être sophistiqué, selon l'état de l'art et les progrès dans le domaine des protocoles de consensus byzantins).
Poids de fabricant : Comme déjà évoqué, les nœuds de fabricants sont avantageusement pondérés en fonction du nombre de WN actifs du fabricant en question. Dans ce cadre, un hard WN d'un fabricant dont le nœud de fabricant présente un poids de fabricant en dessous d'un certain seuil (selon des paramètres de configuration) est assimilé à un soft WN.
En outre, les règles à suivre pour des fabricants des hard WN enclaves (voir section « Réseau mixte SoCs WN et Enclaves WN » et suivantes) peuvent être configurées différemment des règles pour fabricants de SoCs.
Une approche possible pour déterminer le nombre de WN actifs d'un fabricant donné peut consister à parcourir la blockchain et effectuer un comptage des nœuds ayant été impliqués dans des transactions en recourant directement ou indirectement au certificat de fabricant (signature par le fabricant, cf. par ailleurs). On peut tenir compte plus généralement de l'existence d'interactions avec d'autres nœuds et de valeurs de poids de connexion des nœuds intervenant dans ces interactions.
A noter qu'un jeton de coût, analogue au "gas" de Ethereum (cf. Ethereum: A secure decentralized generalised transaction ledger, EIP-150 revision, Dr. Gavin Wood— Appendix G. Fee Schedule— http://paper.gavwood.com/), permettant d'identifier le coût relatif entre les opérations (calculs, stockage, accès à la mémoire, etc.) d'une exécution de contrat, peut être utilisé pour contrôler les traitements par les miroirs.
WN émettant un message au monde extérieur
Pour l'envoi d'un message au monde extérieur (c'est-à-dire à une entité qui n'est pas un WN) chaque WN miroir qui est hard WN propose, aux autres hard WN miroirs le cas échéant, d'émettre lui-même le message en question et le premier gagne. Le procédé comprend les étapes suivantes:
• un premier hard WN miroir propose aux autres hard WN miroirs (le cas échéant) d'émettre le message en question, proposition qui expire après une durée pré-convenue (selon un paramètre de configuration);
· lorsqu'une telle proposition est reçue par un hard WN miroir, si cette proposition vient avant une autre proposition reçue ou émise (pour ledit message en question), alors elle est approuvée, sinon elle est rejetée;
• lorsque le nombre d'approbations est supérieur à la moitié du nombre de hard WN miroirs qui ont répondus, cette proposition est attribuée, le message en question est alors effectivement émis et les autres hard WN miroirs sont notifiés que le message en question a bien été émis.
Selon les cas, le besoin d'émission du message en question peut être clos directement ou lorsqu'un retour arrive de la part du destinataire. L'homme du métier saura en outre tirer parti de l'état de l'art en matière de protocole de consensus byzantins. Tags
On se référera ici à nouveau à la notion de « Wallet Node » WN décrite en détail dans le document WO2016120826A2 au nom du demandeur. La Figure 7 de WO2016120826A2 présente un paiement de 10 unités de compte (UA) d'un nœud "WN 1" à un nœud "WN 2". Ces 10 UA sont retranchées du solde (« balance ») de WN1 et ajoutées au solde WN 2, ces soldes étant des variables persistantes d'état (PSV pour « Persistent State Variables ») sur ces WN.
On va maintenant considérer, en référence à la Figure 4, que de tels soldes d'UA ne sont pas des PSV d'un certain WP particulier exécuté dans un WN, mais des données, appelées "tags" (ou "value tags"), utilisables par le WN quel que soit le WP qu'il exécute. Des UA amenés sous la forme d'un tag par un WP appartiennent ainsi au WN, et peuvent être utilisées par un autre WP sur le même WN - ce sont des variables persistantes d'état pour le WN pris globalement.
Pour prendre un exemple, l'utilisateur WN2 qui reçoit un message WM 1 de paiement, depuis un nœud WNl, suite à une vente qu'il a effectué à ce dernier, exécute un Wallet Program de paiement WPl, et paye ensuite une prime d'assurance en exécutant un Wallet Program d'assurance WP2. Ainsi, dans l'exemple présenté à la Figure 4, 10 UA sont transférées de WNl à WN2, au moyen d'un message WM1 émis en exécutant WPl [ce message comportant le haché #WP1] et ces 10 UA sont payés par WN2 pour régler une prime d'assurance, en exécutant WP2 envoyant un message WM2 [comportant le haché #WP2) à un nœud WN3.
Dans la suite, pour être concret on va considérer, comme UA de tag, des BTC [unités Bitcoin) provenant à l'origine d'une transaction Bitcoin insérée et confirmée n fois dans la blockchain Bitcoin [comme expliqué plus loin, la clé privée secrète du WN bénéficiaire est dans ce cas une clé privée correspondant à une adresse Bitcoin), sans que ce soit limitatif, les mêmes mécanismes pouvant être utilisés pour n'importe quels types d'UA, notamment des UA créées ex-nihilo par des WN, comme par exemple dans des bons d'achat [Gift Cards). En particulier, la demande WO2016120826A2 décrit certaines utilisations de tags qui sont créés par un nœud propriétaire "OWN" ["Owner Wallet Node"), ont des attributs certifiés par des nœuds "VWN" ["Viewer Wallet Node") dans le cadre d'une chaîne de transformation, ou chaîne logistique (Supply Chain) (ou encore chaîne commerciale), et transférés d'un OWN à un autre, reflétant le fait que les instances de produit (les produits, physiques ou immatériels) qu'ils représentent sont dans le monde réel transférés entre les utilisateurs de ces Wallet Nodes OWN.
De tels tags peuvent être recomposés (c'est-à-dire fusionnés ou décomposés) dans une transaction pour donner d'autre tags. Par exemple, en référence à la Figure 5a, dans une transaction donnée (txl), un tag de 10 UA et un tag de 3 UA, constituant les entrées de la transaction, peuvent être recomposés en trois tags, constituant les sorties de la transaction, ici un tag de 5 UA, un tag de 6 UA et tag de 2 UA, le total des UA étant conservé (l'unité UA en question n'a pas été indiquée dans la figure, il peut par exemple s'agir de BTC - Une transaction Bitcoin est un cas particulier de transaction de transfert de tags). On appellera "transaction de transfert de tags" de telles transactions. Un autre exemple de transaction de transfert de tags est illustré à la Figure 5b, qui montre le cas de 10 poissons (10 tags différents), ayant chacun une valeur en Euros différente, transformés (par exemple découpés) en une caisse à poissons (la caisse ayant un tag propre ayant le libellé "tg87") d'une valeur de 100 Euros, cette transaction tx2 ayant été générée par propriétaire OWN des 10 poissons.
On notera que le cas particulier d'un transfert d'un tag d'un OWN à un autre, même sans qu'il y ait fusion ou décomposition, sera ici toujours représenté par une telle transaction de recomposition, ceci dans un but de simplicité de mise en œuvre. (La mise en œuvre du traitement des transactions de transfert de tags sera décrite plus bas dans la section "CMMU").
On va maintenant décrire, en référence à la Figure 6, un procédé d'utilisation des nœuds miroirs (décrits plus haut) pour mitiger le risque de double-spending dans une succession de WM de transfert de tags, ce procédé permettant de mettre en œuvre des transactions Bitcoin off-chain (l'utilisation de la blockchain devenant facultative). Cette Figure montre un message noté "WMcy / tgx" envoyé par le nœud de Cari à un nœud Y (dont seuls des nœuds contresignataires "CWNCY" en commun avec le nœud de Cari sont dans la figure). Ce message WMcy / tgx transmet une transaction dont des transactions prédécesseurs (dans la chaîne "tgx" de successions de tags) étaient auparavant transmis par les messages WMxA/ tgx , WMAB / tgx et WMec / tgx. Le but de la figure est de montrer que le nœud de Cari s'assure d'avoir un ou un certain nombre de nœuds miroirs en commun dont un est (ou certains sont) hard WN, avec tous les nœuds à l'amont, dont ici avec le nœud d'Alice (ceci est indiqué dans la figure ainsi : "CWNCY = CWNM") .
Rappelons qu'une transaction Bitcoin revient à transférer des BTC, en signant (avec une clé privée) au moins un output d'une transaction précédente qui les alloue, à au moins un nouveau propriétaire dont l'adresse Bitcoin est dérivée de sa clé publique. On considère ici le cas où la clé privée secrète d'une WN est une clé privée correspondant à une adresse Bitcoin (c'est-à-dire que le WN génère une adresse Bitcoin à partir de sa clé privée secrète). Un WN est ainsi apte à générer une transaction Bitcoin dont l'input (ou un des ses inputs) est connecté à un output (qui lui est destiné) d'une transaction amont (auquel, par exemple, l'utilisateur dudit WN a pu accéder du fait qu'elle est publiée dans la blockchain et qui l'a entrée audit WN en input dans son terminal), et (facultativement) à l'annoncer (broadcast) pour qu'elle soit insérée dans la blockchain. On comprends par là qu'il s'agit d'une transaction Bitcoin réelle et bien formée qui est générée par ledit WN, néanmoins dans ce qui suit (à la section "Transactions Bitcoin off-chain") on explique justement les avantages de ne pas l'y insérer. Des BTC dépensés par un WN peuvent provenir d'une succession de transactions off-chain (formant un arbre) transférant des BTC d'un ou plusieurs nœuds à un ou plusieurs autres nœuds, et l'on veut mitiger le risque d'un double-spend sur l'un quelconque de ces nœuds générant ces transactions. Ceci est obtenu par la condition supplémentaire suivante (qui s'ajoute aux conditions spécifiées plus haut concernant les nœuds miroirs des nœuds émetteur et destinataire d'un WM) : Pour qu'un WM transférant un tag donné (par exemple 0.5 BTC) soit validé par son nœud destinataire, l'ensemble des nœuds miroirs du nœud destinataire doit avoir une intersection, dont le nombre d'éléments est supérieur à un seuil donné, avec l'ensemble des nœuds miroirs de chacun des nœuds de l'arbre amont (de transactions de transfert de tags) d'où provient ce tag, et au moins l'un d'entre eux doit être hard WN (ou certain nombre d'entre eux doivent être hard WN). La mise en œuvre de l'exécution du procédé par un WN inclut ainsi la traversée, en parcourant de l'aval vers l'amont, de l'arbre amont des WM véhiculant des transactions de transfert de tags et de vérifier ladite condition d'intersection de nœuds miroirs (voir aussi la section « GuardWN, GuardTx et GuardedTx » plus loin, qui décrit un procédé permettant de ne devoir avoir des miroirs qu'avec les transactions les plus à l'amont).
Avantageusement, chaque tag inclut l'information de l'arbre des transactions de transfert de tags à l'amont, chaque transaction indiquant l'adresse du WN l'ayant généré (ces WN sont appelées "WN amont"), ce qui permet, à un WN destinataire d'un WM de transfert de tag, de vérifier directement si au moins un miroir (ou un certains nombre) de tous les nœuds amont figurent dans son entourage, fait partie de ses propres nœuds miroirs et est un hard WN, et pour chaque WN amont qui n'est pas dans ce cas si le poids de connexion d'un de ses miroirs qui est un hard WN lui permettrait d'en faire partie (après échanges éventuels de nouvelles connexions avec des nœuds de son entourage). Ainsi, plus précisément, à chaque tag sont associés tous les tags amont (c'est-à-dire figurant dans l'arbre amont, dans toutes les chaînes de successions de transactions de transfert de tags menant au tag en question), avec l'adresse du nœud propriétaire qui l'a généré et avec, le cas échéant, l'adresse de chacun de ses propriétaires ultérieurs (OWN), ainsi que les adresses de leurs nœuds miroirs, ce qui permet à chaque nœud destinataire d'un WM transmettant une transaction de transfert de tags de vérifier directement l'intersection requise entre ses propres nœuds miroirs et lesdites adresses de nœuds miroirs de chacun de ces propriétaires, ainsi que le fait qu'au moins un (ou certains, selon les paramètres de configuration) sont des hard WN, et une recherche de nœuds ayant de forts poids de connexion est si besoin lancé afin de s'associer de nouveaux nœuds miroirs.
Marché de connaissances
La capacité des WN à sous-traiter des traitements à des trusted computers (aptes à retourner une attestation d'authenticité et d'intégrité d'exécution, tels que des ordinateurs munis de microprocesseur(s) Intel à enclaves SGX), permet de mettre en œuvre directement un marché de connaissances sans tiers de confiance et de manière plus simple que dans l'état de l'art des smart contracts :
Supposons par exemple que l'utilisateur Ul (ayant un Wallet Node WN1 de clé publique Kl) cherche un autre utilisateur U2 (WN2, K2) qui lui vende un secret (SI) que U2 connaît et que Ul ne connaît pas, mais dont Ul connaît le haché H(S1) pour une raison ou une autre, et que Ul soit prêt à payer pour ce service rendu un montant $R1 (R comme Reward] qui se trouve actuellement disponible dans le solde (de tags] de WN1 de Ul.
Plus précisément, une telle offre d'achat de la part d'un WN de clé K comprend un ensemble d'éléments {H(S];$R;$P;T[;params]} annoncé sur ce marché avec signature SigK({H(S);$R;$P;T[;params]}) de ce WN, où $P est une pénalité qu'un fournisseur qui s'engage à fournir au temps T doit payer s'il ne le fait pas (voir aussi le "Scénario d'utilisation" plus bas). Dans la suite, le terme {H(S);$R;$P;T[;params]} est aussi appelé "éléments d'offre".
Voici en substance comment le procédé opère :
1. Ul rend disponible et diffuse un Wallet Program (WPl) permettant d'émettre trois types de messages (seuls les éléments essentiels ont été indiqués et de manière abstraite, on verra plus loin les composants précis d'un WM) :
• WMBid : WM( Sig, #WP1), communiquant une déclaration d'offre de service pour un service "Sig" (correspondant à une signature d'éléments d'offre par un WN, comme décrit ci-dessus), message dont le destinataire est le signataire de Sig et qui, en cas d'acceptation par ce dernier, engage son émetteur (celui qui propose le service en question) à payer une pénalité d'un montant $P en cas de non fourniture dans un délai donné T;
• WMAccept : WM( WMBid, #WP1), communiquant, en réponse à un message WMBid donné, l'acceptation de l'offre de service en question, et qui engage son émetteur à payer le montant $R (spécifié dans les éléments d'offre en question) sur réception d'un message WMS comprenant le secret dont le haché correspond à H(S) (spécifié dans les éléments d'offre en question); et
• WMS : WM( WMAccept, S, #WP1), communiquant le secret S en réponse à un message WMAccept donné et déclenchant sur le WN récepteur sa vérification (par rapport au H (S) spécifié dans les éléments d'offre en question dans les messages précédents) et, en cas de succès de cette vérification, la génération sur le WN récepteur d'une transaction de paiement du montant $R (aussi spécifié dans les éléments d'offre) envoyée à l'émetteur de ce message WMS par un WM final du WN récepteur.
WPl est en outre apte, suite à réception d'un message WMAccept, à sous-traiter les traitements (ici de recherche par force brute du secret S) à un trusted computer apte à retourner une attestation d'authenticité et d'intégrité d'exécution, attestation qui sera automatiquement vérifiée par WPl avant émission du message WMS.
2. Ul annonce son offre {H(Sl);$Rl;$Pl;Tl [;paramsl]} qu'il diffuse avec sa signature Sigl({H(Sl);$Rl;$Pl;Tl [;paramsl]}).
Voici le scénario d'utilisation:
Supposons que l'utilisateur U2 de WN2 ne connaisse pas déjà ce secret S, et supposons aussi que les paramètres paramsl incluent l'indication du nombre maximum de caractères du secret recherché, nombre indiquant que le trusted computer pourra trouver le secret désiré par recherche force brute en un temps raisonnable. U2 décide alors de faire envoyer par son Wallet Node WN2, à destination du
Wallet Node WN1 de Ul, le message
WMBid2 : WM( Sigl, #WP1)
en guise d'offre de service, puis (comme Ul accepte cette offre de service) WN1 lui répond avec le message
WMAcceptl : WM( WMBid2, #WP1)
en guise d'acceptation, ce qui (soit automatiquement, soit sur commande de l'utilisateur U2 qui peut par exemple sélectionner le trusted computer auquel sous-traiter) déclenche la sous-traitance en question à un trusted computer. Plus tard, lorsque le résultat— le secret SI recherché correspondant à H(S1)— est retourné par ce trusted computer, WN2 envoie automatiquement le message
WMS2 : WM( WMAcceptl, SI, #WP1) communiquant le secret désiré SI à WN1, et dès réception de ce message et vérification de la correspondance du haché du secret reçu avec H(S1), WN1 génère la transaction de paiement de $R à WN2 et l'envoie (par WM) à WN2.
A noter que les éléments d'offre peuvent aussi représenter une offre de vente et l'approche de la méthode permet la négociation par itérations d'offres et contre-offres, les éléments d'offre pouvant évoluer dans ces itérations, les messages étant alors essentiellement comme suit (si l'on considère que le premier message, ici WMBid, est envoyé par le fournisseur) :
• WMBid : WM(Sig, {H(S);$R;$P;T[;params]}, WP1), communiquant une contre- offre {H(S);$R;$P;T[;params]} par rapport à "Sig", message dont le destinataire est le signataire de Sig et qui, en cas d'acceptation "à l'identique" par ce dernier, engage son émetteur (le WN qui propose le service en question) à payer une pénalité du montant donné $P en cas de non fourniture dans le délai donné T;
• WMAccept : WM( WMBid ou WMNewBid, {H(S);$R;$P;T[;params]}, #WP1), communiquant une contre-offre en réponse à un message WMBid ou WMNewBid donné; dans le cas où {H(S);$R;$P;T[;params]} est identique aux éléments d'offre de ce dernier, ce message WMAccept engage son émetteur à payer le montant donné $R sur réception d'un message WMS comprenant ledit secret dont le haché correspond à H(S); également, dans le cas où dans un délai (préconvenu) un message WMNewBid proposant des éléments d'offre identiques arrive, ce message WMAccept engage directement son émetteur à payer le montant donné $R sur réception d'un message WMS comprenant le secret dont le haché correspond à H (S);
• WMNewBid : WM (WMAccept, {H (S);$R;$P;T [;params]}, WP1), communiquant une contre- offre {H(S);$R;$P;T[;params]} par rapport à une offre WMAccept donnée et dont le destinataire est l'émetteur de ce message WMAccept; dans le cas où {H(S);$R;$P;T[;params]} est identique aux éléments d'offre de ce message WMAccept donné, ce message WMNewBid engage directement son émetteur (celui qui propose le service en question) à payer la pénalité d'un montant $P en cas de non fourniture dans le délai donné T (sans attendre un nouveau message WMAccept d'acceptation);
• WMS : WM( WMAccept, S, #WP1), communiquant le secret S en réponse à un message WMAccept donné et déclenchant sur le WN récepteur sa vérification et, en cas de succès de cette vérification, la génération d'une transaction de paiement du montant $R envoyée à l'émetteur de ce message WMS par un WM final de la part du WN récepteur.
Une variante de cette méthode consiste à déporter audit trusted computer, en plus, la tâche de vérification du résultat fourni, et ledit trusted computer en fournit une attestation (de l'authenticité et l'intégrité des traitements effectués pour cette vérification) qui sert de preuve.
Ainsi, lors de la fourniture du résultat SI, au lieu d'un simple message "WMS2 : WM( WMAcceptl, SI, #WP1)", WN2 retourne un message
WMA2 : WM( WMAcceptl, SI, A2, #WP1)
dans lequel A2 est ladite attestation de cette vérification successful effectuée dans ledit trusted computer, WN1 n'ayant alors pas à effectuer cette vérification avant de générer la transaction de règlement de $R à WN2.
En variante et dans un but de sécurité supplémentaire, l'attestation A2 est retournée sans fournir immédiatement le résultat SI, et ce résultat est fourni après que WN1 retourne (un WM comprenant) une transaction de paiement (au moins partiel, le paiement étant alors complété par l'envoi d'une transaction finale après réception du résultat SI— à noter aussi que dans le cas où le résultat peut être partitionné, plusieurs itérations paiement-partition peuvent se succéder jusqu'à fourniture complète).
Le fait de communiquer une telle attestation (A2) couvre un champ d'application plus large, en effet ladite vérification peut parfois consister en des traitements longs et coûteux (contrairement à l'exemple ci dessus où il s'agissait seulement de vérifier que le haché du résultat SI fourni correspond au H (S1) spécifié au départ) ou qui simplement ne doivent pas être effectués dans un Wallet Node, un Wallet Node étant destiné à ne gérer que des accords (agreements) entre nœuds et devant rester disponible (en performances) dans ce but.
Enfin, un marché aux enchères de résolution de problèmes peut être créé, assurant par exemple qu'un fournisseur proposant une meilleure offre (plus complète et/ou plus rapide et/ou...) scelle un deal. Une telle offre peut consister non seulement en l'apport d'une solution à un problème donné mais aussi en des traitements de vérification d'une solution proposée (dans le secteur du software testing par exemple).
La possibilité des WN de sous-traiter des traitements à des trusted computers étend ainsi la puissance du réseau de WN, le réseau de WN permettant de se passer de tiers neutres dans les échanges, chaque WN pouvant être fabriqué à bas coût, dans une technologie accessible et relativement répandue, par une pluralité de fabricants, justement grâce à cette possibilité de sous-traitance qui permet aux WN de ne prendre en charge que les traitement concernant les échanges (les conditions d'échange, les paiements, etc.).
« Blind Proxy »
Les Wallet Nodes permettent de mettre en œuvre des traitements sans divulgation des données traitées ni du code exécuté dans ces traitements.
On considère un dispositif "Client" et un dispositif "Blind Proxy" (ou "Proxy"), Client faisant tourner sur Proxy un code exécutable "P" (comme Program) sur des données "/" (comme Input) qu'il envoie à Proxy.
Le modèle d'exécution adopté pour ce code exécutable P est une machine à états finis, dont l'exécution est déclenchée par la réception d'un message entrant et susceptible d'émettre des messages sortants. Ainsi, sa réception d'un message entrant entraîne la génération de 0 à n messages sortants et 0 à m changements d'états (persistent states).
A Proxy sont associées une paire de clés publique/privée, la clé publique ("K2") de Proxy ayant préalablement été certifiée, sous forme d'une signature décryptable avec une certaine clé publique "K" (au nom du fabricant du SoC, « on behalf of the SoC manufacturer »), pour garantir la propriété "blindness" de Proxy et incluant la garantie d'intégrité d'exécution (dite « hash-locked exécution », "hash" voulant dire "haché").
Considérons tout d'abord le procédé suivant pour réaliser un « Blind Proxy ». Dans la suite on utilise le symbole « § » pour un chiffrement, la lettre « P » qui peut être suivie d'un chiffre (PI) pour un programme, la lettre « K » qui peut être suivie d'un chiffre [Kl] pour une clé, celle-ci étant clé publique lorsqu'il s'agit de générer un chiffrement (tel que dans §κΡ) et clé privée lorsqu'il s'agit de la clé utilisée pour générer une signature, tel que dans signK(X)- Ce procédé Blind Proxy est le suivant :
Provide Proxy to Client:
1. Provide (on behalf of the Proxy manufacturer) certification public key (K) (accessible by Client)
2. Generate Proxy's public key (K2)
3. K2 is certified with signK(K2) (Le. décryptable using K)
4. Proxy sends K2 to Client (and (K2, signK(K2)j is accessible by Client)
Client provides an exécutable code (P) to Proxy:
5. Client encrypts P using K2 (§κ∑Ρ) and sends fcP to Proxy
6. Proxy decrypts fcP, hashes P (#P) and stores §κΡ in association with ëP, in a table PHT (Program Hash Table)
7. Client hashes P (#P)
For each exécution request:
8. Client encrypts I+#P (§K2input+#P) using K2 (or §K2input+#P+Kl, where Kl is Client's public key) 9. Client sends to Proxy §K∑input+#P and Kl (or §K2Înput+#P+Kl), along with a nonce (nonce) (or sends §K2Ïnput+#P+Kl+nonce)
10. Proxy ("blindly") decrypts §K2(input+#P.. as well as §iaP (§K2P being retrieved from PHT using #P)
11. Proxy (blindly) runs P (decrypted on the fly) with I (once decrypted), encrypts the results using Kl (§Kioutput) and returns nonce and §Kioutput (or ail encrypted together) along with signK2(nonce,§Kioutput...) to Client, without the owner of Proxy being able to see I, P or thèse results 12. Client decrypts the results and checks them by decrypting their signature with K2. Comme mentionné ci-dessus, avantageusement, à l'étape 8, au lieu de simplement chiffrer l+#P avec la clé K2 de Proxy, Client chiffre 1+#P+K1 [§K2Înput+#P+Kl), et à l'étape 9, Client communique sa clé publique Kl en envoyant §K2input+#P+Kl. Proxy retourne alors les résultats à Client (à son adresse qui peut être #K1) sans que Kl ne soit dévoilé. Selon une autre option, nonce peut faire aussi partie du corps du message chiffré [§K2Ïnput+#P+Kl+nonce) et dans le message retourné par Proxy à Client, il figure aussi de manière chiffrée [§Kioutput+noncé). Pour simplicité et clarté, ces options, que l'homme du métier saura mettre en œuvre aisément, ne sont pas reprises dans la suite. L'important ici est le fait de ne pas dévoiler #P pour que l'utilisateur ou propriétaire de Proxy ne puisse pas en faire la relation avec Client.
Dans une implémentation possible (d'autres implémentations pouvant bien entendu être envisagées), le message de Client à Proxy comprend :
message: §K2input+#P, Kl, nonce
et le retour (de Proxy à Client) comprend :
message: nonce, §Kioutput, [K2,] signK2(nonce,§Kioutput),
(ou simplement
message: signK2(nonce,§Kioutput)
dans le cas où nonce et §Kioutput peuvent être obtenus en décryptant signK2(nonce,§Kioutput) au moyen de K2, mais on considère dans la suite que les signatures consistent en des chiffrements de hash)
nonce permettant avantageusement de faire correspondre un message sortant à un message entrant et K2 et signK2(nonce,§Kioutput) permettant à Client de vérifier que le traitement a bien été fait par Proxy ayant cette clé K2 (certifiée).
Pour que Client puisse vérifier le certificat garantissant la propriété "blindly" (ainsi que d'intégrité d'exécution - il est entendu ici que « blindness » suppose (« subsumes » en anglais) l'intégrité d'exécution hash-locked exécution integrity) du traitement par Proxy (qui a signé le résultat de ce traitement par signK2(nonce,§Kioutput)),
• signn(K2) est communiqué à Client au préalable et Client le stocke, et/ou avantageusement
• signn(K2) est inclus dans chaque message de retour, comme suit:
message: nonce, §Kioutput, [K2,] sign^Çnonce, §Kioutput), signK(K2)
Il y a des cas où l'on veut que même Client soit une entité ayant la propriété de blindness ou d'intégrité d'exécution et, pour le garantir l'on veut également que (i) le message de Client à Proxy soit signé par Client [signKi(nonce,§K2input+#P) ) et (ii) que la clé Kl de Client soit certifiée [signK(Kl)) :
message: §K2Ïnput+#P, nonce, Kl, signKi(§iainput+ffP, nonce), signK(Kl )
(#P pouvant être le hash du code exécutable utilisé par Client ou Proxy).
L'utilité du cas où P est du code exécutable utilisé par Client est par exemple manifeste dans le cas de la vérification d'un passeport électronique, en référence à la Figure 6 de la demande PCT No. WO2016/120826 A2 : la garantie de l'intégrité d'exécution de Client - exécutant un programme de vérification du passeport, dont le hash du code exécutable est #P1 - signifie garantir l'existence de ce passeport : message: §K2Ïnput+#Pl, nonce, Kl, signKi(§K2Ïnput+#Pl, nonce), sign^Kl) .
On peut alors concevoir un schéma unifié (présenté ici de façon non limitative, d'autres approches étant possibles] pour les messages de Client à Proxy et les retours de Proxy à Client, qui est le suivant: message: noncel, §K2(data+#Pl+#P2), nonce2, Kl, SignKi(noncel, §K2(data+#Pl+#P2), nonce2), signK(Kl) .
Dans un message M selon ce schéma unifié :
• M étant vu comme un message sortant (du point de vue de son émetteur], noncel reproduit le cas échéant le nonce2 reçu dans le message amont qui avait déclenché le traitement qui a donné lieu à ce message M;
· M étant vu comme message entrant (du point de vue de son destinataire], nonce2 désigne le noncel du (ou de chaque] message sortant qui sera émis par ledit destinataire au cours du traitement en réaction à la réception de ce message M;
• #P1 est le hash du code exécutable exécuté par l'émetteur de ce message M;
• #P2 est le hash du code exécutable requis pour effectuer le traitement en réception de ce message M.
On comprend donc que nonce2 identifie le message en question (M], tandis que noncel est l'identifiant du message entrant reçu qui avait déclenché le traitement qui a donné lieu à ce message M.
Classiquement, un tel message comprend une entête (header] qui indique notamment le type du message, ceci est implicite dans la suite du texte.
Selon les cas, certains de ces arguments seront omis pour appliquer ce schéma aux différents cas d'usage. Par exemple, pour le procédé "blind proxy" présenté plus haut (où le message de Client à
Proxy comprend :
message: §K2Ïnput+#P, Kl, nonce
et le retour (de Proxy à Client] comprend
message: nonce, §Kioutput, K2, signK2(nonce, §Kioutput), signK(K2) ],
selon le schéma unifié, le message de Client à Proxy comprend les arguments suivants :
message: _ , §K2(data+_+#P2), nonce2 , Kl, _ , _
et le retour comprend les arguments suivants:
message: noncel, §K2(data+#Pl+_) , _ , Kl, SignKi(noncel, §K2(data+#Pl+ _) , _ ), signK(Kl) .
Avantageusement, un schéma de message plus complet comprend en plus un argument ëspec contenant le cas échéant le hash d'une spécification des contraintes reliant #P1 et #P2, c'est-à-dire, restreignant l'ensemble des #P2 valides à la suite d'un #P1 :
message: noncel, §K2(data+#Pl+#P2), #spec, nonce2, Kl, SignKi(noncel, §K2(data+#Pl +#P2), #spec, nonce2), signK(Kl )
Dans une mise en œuvre, cette spécification « spec » peut être l'ensemble des codes exécutables [#P1,#P2, etc.] valides. Dans une autre mise en uvre, en référence à la Figure 11, pour chaque code exécutable dont le hash est donné [#PÏ] est fourni dans cette spécification l'ensemble des hash des codes exécutables (#P2...] valides (d'autres mises en œuvre sont possibles].
Dans le cas où, pour un message donné, il est requis que le code exécutable (dans son intégralité] qui doit être exécuté par le récepteur du message soit le même que celui exécuté par l'émetteur du message, c'est-à-dire que le même #P soit propagé d'un message entrant reçu à un (ou à chaque] message sortant généré, il est préférable que le schéma des messages soit le suivant (et l'on pourra utiliser ou se référer à cette option particulière de schéma unifié dans la suite, sans que ce soit limitatif] :
message: noncel, §K2data+#P, nonce2, Kl, SignKi(noncel, §K2data+#P, nonce2), signK(Kl )
Rappel du principe de mise en œuvre des Wallet Nodes En référence à la Figure 5 de WO2016120826A2, au sein du SoC se trouve un microcontrôleur [Microcontroller) comprenant un processeur généraliste (« general-purpose processor », tel qu'un processeur implémentant l'architecture RISC-V) muni d'une mémoire interne. Seul ce processeur peut accéder à la partie « Sign » fournissant des fonctions cryptographiques, notamment la fonctionnalité de signature par le SoC, cette dernière étant à son tour la seule à pouvoir accéder à la partie contenant la clé secrète de la puce (Secret Key]. La partie « (Secret Key] » est présentée entre parenthèses dans la figure puisque dans certaines options de mise en œuvre la clé secrète n'est pas stockée mais régénérée dynamiquement. La partie Wallet Programs mémorise des codes exécutables chiffrés ( P ainsi que leurs hachés respectifs. Le Microcontroller charge dans sa mémoire de manière sécurisée, en fonction du hash (#P) inclus dans le message entrant (ou de l'entrée via Ι/0] l'un ou l'autre de ces codes exécutables. Ces derniers sont aptes à manipuler, dans une mémoire non volatile, des variables d'état persistantes qui ne sont accessibles que par le Microcontroller. Dans WO2016120826A2, le sous- système Pers. State Variables ne rend accessible lesdites Pers. State Variables (PSV) que seulement pour l'exécution des WP respectifs spécifiques auxquels ces variables appartiennent. Ces variables d'état ne peuvent ainsi être accédées/manipulées que (exclusivement) par leurs WP respectifs. (Dans le présent texte, par PSV on entend Program State Variables - les variables persistantes appartenant au programme - par opposition aux tags et aux NSV signifiant Node State Variables, les variables propres au WN.) Au power-up et power-reset, le code exécutable stocké dans la partie « Check/Load » est le premier à être chargé et exécuté dans le Microcontroller, et des hachés peuvent alors être (re) associés aux WP disponibles dans la partie « Wallet Programs ». Lorsqu'un WM arrive (via Ι/0), le code de cette partie Check/Load en vérifie l'intégrité et l'authenticité (la clé publique du WN émetteur de ce WM est utilisée pour décrypter la signature par ce WN émetteur et vérifier l'intégrité du message; la clé de la signature de certification en représentation du fabricant est vérifiée et la clé publique qu'elle certifie est alors validée comme étant une clé de WN, ce qui permet de confirmer l'authenticité dudit WM), le WP correspondant audit haché est, le cas échéant, sélectionné dans la partie « Wallet programs » et chargé pour exécution. L'émission de WM, le cas échéant, par ledit Wallet program, se fait par l'intermédiaire de la partie Sign qui vérifie le haché inséré dans le WM en préparation avant de le signer. A noter que dans une variante de mise en œuvre possible, pour émettre un WM vers un WN destinataire, le sous-système de signature du WN émetteur génère (ou vérifie) un chiffrement du WP en exécution (c'est-à-dire du WP couramment chargé) avec le cas échéant les données à transmettre, au moyen de la clé publique du WN destinataire, et l'inclut dans ledit WM à émettre avant signature dudit WM à émettre (et à réception le WN destinataire charge pour exécution ce WP une fois décrypté) garantissant ainsi que le même WP est re-exécuté dans le WN destinataire. Avantageusement, les WP peuvent être organisés en versions ; dans une forme de réalisation, les hachés des versions précédentes du WP fournit dans le WM accompagnent ce dernier et, pour chaque variable d'état stockée dans la puce, le haché de la version du WP qui l'a dernièrement manipulée lui est associé. Ainsi les variables d'états d'un WP peuvent être mises à jour par celui-ci même lorsque sa version évolue.
On considère dans la suite qu'un WP est transféré d'un WN à un autre au sein d'un WM au moyen d'un WP spécifique de transmission (voir dans la suite code exécutable « PP »).
Comme déjà évoqué, la clé publique correspondant à ladite clé privée secrète est « certifiée » par le fabricant dudit système-sur-puce WN. Ce certificat est une signature (c'est la signature, par une entité représentant le fabricant, de la clé publique correspondant à ladite clé secrète du WN) dont la clé de signature (c'est-à-dire clé publique représentant le fabricant) est partagée entre tous les (ou du moins une pluralité de) systèmes-sur-puce WN d'un même fabricant. Ledit certificat est produit automatiquement, quel que soit le mode de fabrication : mode où ladite clé secrète est gravée dans la puce comme dans les TPM ou les cartes à puce, mode où elle est stockée de manière sécurisée, mode où elle est automatiquement générée dans la puce selon la technologie « PUF » [Physically Unclonable Function) introduite dans [P. S. Ravikanth, « Physical one-way functions », PhD Thesis, MIT, 2001] et [Pappu& al., « Physical one-way functions », Science, 297(5589) :2026-2030, 2002] (technologie mise en œuvre notamment dans les SoC FPGA Smartfusion2 et d'autres puces du fabricant Microsemi), ou selon une technique analogue à ces dernières. L'authenticité de ladite clé publique d'un WN émetteur d'un WM (notamment l'authenticité des signatures effectuées au moyen de la clé secrète de ce WN) est automatiquement vérifiée par le WN récepteur de ce WM lors de sa réception par rapport audit certificat. Avantageusement le système inclut d'office ledit certificat dans les WM.
Classiquement, il existe une logique intégrée dans les SoC, appelée BIST (Built-In Self Test) qu'on utilise typiquement pour tester la clé secrète du SoC. Selon un aspect inventif, on utilisera cette même logique BIST pour générer la signature du fabricant (certificat) automatiquement au moment de ce test, c'est-à-dire au moment de sa fabrication, la clé privée du fabricant permettant cette signature étant elle-même secrète. Ainsi, au moment dudit test si la clé secrète (clé privée) est opérationnelle et permet d'en dériver la clé publique correspondante, une requête de certification de cette dernière est transmise à un dispositif de signature au moyen de la clé privée représentant le fabricant. La signature qui le cas échéant en résulte est avantageusement inscrite dans le SoC.
CMMU - Crypto Memory Management Unit
On va maintenant décrire un système-sur-puce « Blind SoC » assurant la propriété de « blindness », apte à mettre en œuvre le procédé présenté au début de la section « Blind Proxy » et les messages selon les schémas donnés, où essentiellement les fonctionnalités spécifiques de Wallet Node (telles que ceux de « Check/Load » et « Sign ») ont été encapsulées dans une unité spécifique pour offrir plus de sécurité.
Un Blind SoC possède une clé privée secrète. Un Blind SoC peut communiquer avec un autre équipement par des messages et est apte à exécuter des programmes en réponse à la réception de messages (comme présenté à la Figure 23). Un Blind SoC est par ailleurs apte à mémoriser un programme à exécuter reçu, reçu de manière chiffrée et/ou après chiffrement par le Blind SoC, et à générer un haché de chaque programme, ce haché permettant de retrouver le programme chiffré au moyen d'une table « Program Hash Table » (PHT). Un équipement (Client) peut adresser au Blind SoC un message contenant des données d'entrée data] pour un certain programme à exécuter (P2), ainsi que le haché (#P2) dudit programme. En réponse à un tel message, le Blind SoC (i) accède au programme à exécuter à partir du haché du programme (#P2) reçu dans le message, (ii) décrypte à la volée le programme, et (iii) exécute à la volée les instructions décryptées.
Avantageusement, avant émission d'un message, un Blind SoC y insère le haché (#P2) du programme en cours d'exécution dans le corps du message à émettre, qu'il signe au moyen de sa clé secrète. Lorsqu'un message a un même haché pour le programme en cours d'exécution (#P2) que pour le programme à exécuter par le destinataire de ce message (#P1 = #P2), ledit programme [PI - P2) est un « engagement exécutable » (smart contract) dans le cas où le destinataire dudit message offre la garantie d'intégrité d'exécution de ce programme P2. (Egalement, si le haché (#PI) émis pour le programme en cours d'exécution est différent de celui (#P2) pour le programme à exécuter par le destinataire offrant garantie d'intégrité d'exécution de ce programme (P2), mais la correspondance est garantie au moyen d'une spécification commune de ces programmes (PI, P2..., comme déjà décrit en référence à la Figure 7) ces programmes représentent un « engagement exécutable » (smart contract)).
Blind SoC comprend une unité CMMU (Crypto Memory Management Unit) qui mémorise - ou qui est apte à dynamiquement régénérer (par technologie PUF, précédemment citée) - ladite clé secrète du Blind SoC (qui n'est accessible que par l'unité CMMU qui ne la dévoile jamais), et c'est par cette unité CMMU que sont effectués :
ledit chiffrement du programme avant mémorisation,
une allocation de place en mémoire [addrl..addr2 range) où stocker le programme ainsi chiffré, cette place allouée permettant aussi de stocker des variables persistantes d'état liées à ce programme et assurant l'isolation des programmes les uns par rapport aux autres,
ladite génération du haché du programme et
ledit décryptage pour exécution à la volée par au moins une unité processeur comprise dans le Blind SoC,
- les autres traitements décrits plus bas dans la présente description.
La Figure 21 présente schématiquement les étapes de réception par CMMU d'un message contenant un programme à charger en mémoire [MEMORY). A noter que la mémoire [MEMORY) peut être externe au SoC ou pas, et qu'elle comprend des espaces réservés à des variables , telles que les tags décrits plus haut, qui n'appartiennent pas à un programme donné mais sont partagés. Les étapes numérotées représentent les étapes suivantes :
1) réception d'un message contenant un programme à charger en mémoire
2) ledit programme à charger étant chiffré et le haché dudit programme avant chiffrement étant déterminé, réservation d'un espace en mémoire pouvant contenir ce programme chiffré et ses variables persistantes d'état qui seront également chiffrées, et mémorisation dudit programme chiffré, ledit haché permettant par la suite de le retrouver via une table [PHT).
Avantageusement, l'unité CMMU effectue ladite mémorisation du programme chiffré bloc d'instructions par bloc d'instructions et fournit [audit processeur) un seul bloc d'instructions déchiffré à la fois [pour exécution par le processeur des instructions que le bloc comprend). A noter qu'une architecture de microservices [https://martinfowler.com/articles/microservices.html] ou serverless architecture [https://martinfowler.com/articles/serverless.html], dans la mesure où les fonctions ont une granularité fine, elle peuvent constituer des parties non-divisibles de bloc.
Ainsi le procédé pour charger des programmes [codes exécutables) dans Blind SoC comprend avantageusement les étapes suivantes. Sur réception par Bind SoC d'un message comprenant P et #PP [sous forme chiffrée fcP+#PP...), PP étant le programme de chargement de programme et P étant le contenu du code exécutable à charger, l'unité CMMU :
1. décrypte §κ2Ρ— et calcule le hash du programme à charger (#P) ;
2. crée une clé symétrique [PK] dérivée de {#P + la clé secrète du Blind SoC };
3. chiffre les blocs d'instructions de ce code exécutable avec cette clé symétrique [§ρκΡϊ] ;
4. alloue de l'espace mémoire [addrl..addr2) dans la mémoire pour ces blocs §PKPÎ ainsi que pour les futures variables persistantes d'état manipulées par ce programme, et y enregistre ces blocs §ρκΡί ;
5. insère des informations comprenant ëP, addrl, addr2 dans une table PHT [Program Hash Table).
Lorsqu'un message, contenant des données d'entrée pour un certain programme à exécuter (P) et le haché (#P) de ce programme, est reçu par le Blind SoC, son unité CMMU:
1. accède à partir du haché du programme #P reçu dans le message et via la table PHT, aux blocs du programme chiffré à exécuter §PKP stockés en mémoire dans l'espace qui lui est réservé [addrl..addrZ] ;
2. décrypte les blocs d'instructions de P et les transmet à l'unité processeur à la volée;
3. l'unité processeur exécutant à la volée les instructions décryptées sur les données d'entrées, CMMU se charge de stocker les variables d'état persistantes liées à P en isolation, dans addrl..addr2, et les messages générés incluent #P et sont signés par CMMU.
Ainsi, avant émission d'un message par le Blind SoC, l'unité CMMU insère dans le message à émettre le haché (#P) du programme en cours d'exécution ainsi que la signature de ce haché par le CMMU au moyen de la clé secrète [ou insère ledit haché du programme dans le corps du message à émettre qu'elle signe avec la clé secrète), ce qui permet, dans le cas où #P = #P1 - #P2 [ou selon la description plus haut en référence à la Figure 7, dans le cas où les programmes sont organisés selon une spécification) et si l'entité destinataire garantit aussi leur intégrité d'exécution, d'utiliser de tels programmes comme engagements exécutables (smart contract) au sens de la présente invention. La Figure 22 présente schématiquement les interactions que représentent ces étapes entre les différentes parties (PROCESSOR, CMMU, MEMORY] du système :
1) Réception par CMMU d'un message contenant des données d'entrée d'un programme à exécuter ainsi que le haché dudit programme ;
2) CMMU localise dans la table PHT, à partir dudit haché, ledit programme chiffré, le charge dans son cache et le décrypte (bloc par bloc) ;
3) CMMU transmet à la volée le (un bloc à la fois du] programme décrypté à PROCESSOR pour exécution ;
4) Le cas échéant, PROCESSOR requiert d'accéder à des variables persistantes d'état (PSV et/ou tags) déjà créées ou en crée/les met à jour et demande de les stocker, ou en supprime, et
5) CMMU accède et décrypte / chiffre et mémorise lesdites variables persistantes d'état ;
6) Le cas échéant, PROCESSOR prépare un message à émettre, et
7) CMMU y insère le haché dudit programme en exécution et sa signature au moyen la clé secrète et émet le message.
Avantageusement, le CMMU est apte à vérifier les intersections requises d'ensembles de n uds miroirs décrits plus haut lors de la réception d'un WM et pour chaque transaction de transfert de tags reçue.
En référence à la Figure 23, les WM peuvent être émis par un Blind SoC (générés par l'exécution d'un programme WP) ou reçus en tant qu'input de l'utilisateur ou par un autre dispositif (messages « Quasi- WM ») et comprennent le haché #WP de ce programme dans les deux cas.
La Figure 23 présente un message WM de transfert de tags, en entrée, qui véhicule une transaction (txl), cette transaction provoquant dans la mémoire (MEMORY) au niveau des Tags, l'insertion des tags amenés par cette nouvelle transaction, chaque tag comprenant les données représentatives de la succession (arbre) des transactions à l'amont, comme déjà décrit, à chacune étant associé l'adresse du WN amont l'ayant généré et les adresses de ses WN miroirs. Avec ces informations, pour valider ou non le message, le CMMU vérifie l'intersection requise entre ses propres nœuds miroirs et lesdites adresses de WN miroirs, ainsi que le fait qu'au moins un (ou certains, selon les paramètres de configuration) sont des hard WN. Cette figure présente également un message WM de transfert de tags en sortie qui véhicule une transaction (tx2) générée par le CMMU sur instruction d'un WP, le CMMU neutralisant (rendant inconsommable) les tags consommés par cette transaction générée (pour éviter un double-spend) et générant le ou les nouveaux tags qui en sont en output, des arbres respectifs des transactions à l'amont leur étant associés (à partir des arbres à leur amont).
Par ailleurs, le CMMU gère les simplifications de transactions décrites plus loin à la section « Transactions Bitcoin off-chain » : une simplification consiste à remplacer au moins deux transactions inter-WN antérieures qui ne sont pas encore insérées dans la blockchain, par une nouvelle (ou le moins possible de) transaction(s) de remplacement, le CMMU veillant à ce que le solde courant restant inchangé par ces remplacements (ce mécanisme est générique, les transactions de transfert de tags étant plus générales que les transactions Bitcoin).
La Figure 23 montre également une requête https générée par le CMMU qui prend en charge les handshakes et les opérations cryptographiques, laissant au terminal auquel il est couplé le rôle d'interface d'entrée/sortie (au niveau TCP) afin d'assurer l'intégrité des données de bout en bout (le site accédé étant de confiance).
Le CMMU prend aussi en charge la gestion et la signature par le Blind SoC des messages Non-WM (en sortie, comme présenté à la Figure 23 et décrit plus haut à la section « WN émettant un message au monde extérieur »).
En référence à la Figure24, le CMMU gère les données provenant du ou des capteurs d'un SAM partagée par les différents WP (ceci est décrit plus loin à la section « Interaction entre Wallets Nodes et le monde physique »).
Contraintes sur les tags Le CMMU inclut un mécanisme permettant de contraindre l'utilisation des tags par les programmes WP. Ainsi un tag peut être réservé pour usage par un WP ou des WP liés (cf. Figure 7), de manière à éviter que des unités de compte du tag ne puisse être dépensées par un WP qui n'est pas habilité à le faire.
Ainsi un WP est capable d'indiquer au CMMU qu'un tag est réservé à son usage, et le CMMU affecte à ce tag un marquage indiquant cette réservation au niveau de la mémoire MEMORY.
Ce marquage peut être levé à l'initiative du même programme, rendant ainsi le tag à nouveau utilisable par d'autres WP.
Dans le cas d'une tentative, par un WP, de génération de transaction alimentée par un tag pour lequel ce WP n'est pas habilité, le CMMU interdit l'opération, et les UA de ce tag ne pouvant donc pas être consommées (du fait qu'une telle transaction ne peut avoir lieu). Cette architecture permet aux WN de réserver des UA matérialisées par des tags à certains types d'opérations destinées à être exécutées par les WP qui les ont respectivement réservées, et donc de mettre en œuvre des engagements sur la base d'UA qui sont bloquées à cet effet, tels que les CCC décrits dans WO2016/120826 A2.
Perfectionnements aux CCC
Rappel du cadre général
Le cadre général est ici un ensemble de nœuds qui sont bénéficiaires d'engagements CCC et peuvent eux-mêmes fournir un engagement CCC du même type à d'autres nœuds, ces derniers à encore d'autres, et ainsi de suite, les nœuds et les engagements CCC formant ainsi un réseau de "networked- insurance".
Prime et Contribution potentielle maximum
Un premier nœud, ayant fournit à des seconds nœuds un engagement CCC d'un certain type, ajoute (typiquement de manière échelonnée dans le temps] sur son solde CCC (somme d'UA de tags réservés) et conformément à cet engagement, une "prime" (analogue à une prime d'assurance) pour couvrir l'ensemble de ces seconds nœuds, et spécifie pour chaque second nœud un seuil signifiant à quelle hauteur ce second nœud est couvert par lui, seuil appelé "contribution potentielle maximum". Suite à un sinistre sur l'un des seconds nœuds couverts par un premier nœud : le premier nœud transfère à ce second nœud, à partir de son solde CCC, un certain montant d'UA (voir "Transaction de transfert d'UA") en échange de "bons de prime" (voir la définition qui suit) émis par ce second nœud. Le montant de ce transfert est fonction du solde CCC du premier nœud et est à hauteur de la contribution potentielle maximum spécifiée pour ce second nœud particulier.
Bons de prime
Un "bon de prime" émis par un second nœud est une reconnaissance de dette "au porteur" émise en contrepartie d'une contribution reçue par ce second nœud en exécution d'un engagement CCC, suite à un sinistre, contribution reçue de la part du premier nœud qui est le fournisseur de cet engagement CCC. Cette dette est remboursable par le second nœud conformément à cet engagement CCC (typiquement de manière échelonnée dans le temps) dans la limite du montant de la prime prévue pour le second nœud, et pro rata de cette contribution reçue (parmi le cas échéant une pluralité de contributions reçues). Les bons de prime sont "au porteur" en ce sens que, tant que leurs montants respectifs de dette ne sont pas encore épongés (c'est-à-dire qu'il reste encore des UA à recevoir), ils représentent un certain montant de valeur à terme, ont une certaine "valeur immédiate en UA", et peuvent être transférés (voir "Transaction de transfert d'UA") d'un nœud à un autre. La "valeur immédiate en UA" d'un bon de prime est défini comme étant la somme des montants qu'il représente à différents termes prévus moins la somme des intérêts respectifs pour les durées de ces termes. Le premier porteur d'un bon de prime est le premier nœud ayant contribué, en exécution d'un engagement CCC, au second nœud sinistré qui a émis ce bon de prime. A noter que ce dernier le lui a transféré en mode "à n'utiliser qu'en cas de sinistre" : la valeur immédiate du bon de prime ainsi reçu par le premier nœud s'ajoute au solde CCC (qui est réservé à payer des sinistres) et il ne peut être dépensé (ni même en partie) que pour dédommager un sinistre selon cet engagement CCC, par le ou les WP habilités.
Bons de prime concurrents
Ledit second nœud sinistré transfère également, audit premier nœud, tous les bons de prime qu'il a lui même reçu à partir des nœuds à l'aval auxquels il a contribué dans le passé dans le cadre du même CCC, toujours dans un mode "à n'utiliser qu'en cas de sinistre", mais ici dans un mode "concurrent" (c'est-à-dire répliqué et synchronisé) et pour moitié (ou pour une proportion donnée dans le CCC) de leurs valeurs respectives. Chaque bon de prime peut ainsi être répliqué sur plusieurs nœuds à la fois, peut seulement être utilisé pour paiement (pour toute ou partie de sa valeur immédiate) en cas de sinistre et seulement dans le cadre du CCC en question, et un paiement par bon de prime le consomme en même temps (par synchronisation) sur tous les nœuds où il se trouve (y compris sur ledit premier nœud qui a contribué au sinistre qui en est à l'origine et vers lequel il a été transféré en premier). Pour ce faire, chaque paiement de sinistre par bon de prime est le cas échéant notifié par le nœud payeur aux autres nœuds concurrents où il a également été transféré et lorsque sa valeur tombe à zéro, il est supprimé sur l'ensemble de ces nœuds.
Envoi de Message
On va maintenant décrire un mode de réalisation selon lequel un message émis comportant (et identifié par) un nonce2 est considéré comme "envoyé" par son émetteur sur réception d'un message d'accusé de réception (ack) retourné par le destinataire de ce message et comportant ledit nonce2 comme décrit ci-avant, c'est-à-dire en tant que valeur de l'argument noncel.
Ledit message expire après un certain temps, fixé pour le code exécutable donné, temps après lequel il est typiquement re-émis un certain nombre de fois (voir plus loin la section « Garantie d'engagement en cas de non-responsiveness »).
L'accusé de réception a ainsi la forme suivante :
message: noncel :receivedNonce2, §K2(data:ack(receivedNonce2)+#P), nonce2, Kl, signKi(noncel:receivedNonce2, §K2(data:ack(receivedNonce2)+#P), nonce2), signK(Kl))
En outre, en référence à la Figure 8, lorsque X envoi
• d'un premier message (WM1) par un premier émetteur (WN1) à un destinataire WN2 est, dans un laps de temps donné à partir de l'envoi de WM1 (qui typiquement est fixé pour le code exécutable courant), suivi de Y envoi
• d'un deuxième message (WM2) par WN2 à un autre destinataire (WN3),
un message noté "(ack(WM2))" (entouré de parenthèses à la Figure 8), propageant l'accusé de réception "ack(W 2)" reçu de WN3 par WN2, est envoyé par ce dernier au premier émetteur (WN1). Pour illustrer ce procédé, le message WM1 en référence à la Figure 8 est de la forme suivante :
WM1 from WN1 to WN2: noncel, §K2data+#P, nonce2:Nl, Kl, signKi(noncel, §K2data+#P, nonce2:Nl ), sign^Kl )
et son accusé de réception (qui entérine cet envoi de WM1) est de la forme suivante :
ack(WMl) from WN2 to WN1: noncel.Nl, §K2data:ack(Nl)+#P, nonce2, Kl, signKl(noncel:Nl, §K2data:ack(Nl)+#P, nonce2 ), signK(Kl )
A la suite de ce premier message identifié par le nonce2 "NI", le message WM2 de la Figure 12, envoyé de WN2 à WN3, est de la forme suivante:
WM2 from WN2 to WN3: noncel, §K2data+#P, nonce2:N2, Kl, signKi(noncel, §K2data+#P, nonce2:N2), signK(Kl )
Sur réception de l'accusé de réception entérinant WM2 retourné par WN3, qui est de la forme suivante :
ack(WM2) from WN3 to WN2: noncel:N2, §K2data:ack(N2)+#P, nonce2, Kl, signKi(noncel:N2, §K2data:ack(N2)+#P, nonce2), signK(Kl) pourvu que cet accusé de réception parvienne à WN2 dans le laps de temps donné à partir de l'envoi de WM1, comme le montre la Figure 12, WN2 le propage à WNl en un message « (ack(WM2)) » qui est de la forme suivante :
(ack(WM2)) from WN2 to WNl: noncel.Nl, §K2data:{(ack(N2),payload)}+#P, nonce2, Kl, signKi(noncel:N2, §K2data:[(ack(N2),payload)}+#P, nonce ), signK(Kl )
payload étant un contenu dépendant du code exécutable en question, telle que par exemple le contenu de W 2.
Le même procédé se poursuit dans le cas d'une chaîne plus longue de messages jusqu'à une profondeur maximum donnée (typiquement cette profondeur étant fixée pour le code exécutable donné). Par exemple, et en référence à la Figure 8, cette chaîne étant composée
• d'un premier message (WM1) d'un premier émetteur (WNl) à un deuxième (WN2),
• suivi (dans un laps de temps donné) d'un message (WM2) du deuxième à un troisième (WN3), puis
• suivi (dans le laps de temps donné à partir de l'envoi de WM1) d'un message (WM3) du troisième à un quatrième (WN4),
l'accusé de réception reçu du quatrième (WN4) est aussi propagé de proche en proche jusqu'au premier émetteur (WNl), pour aboutir au message "((ack(WM3))" envoyé par WN2 à WNl et comportant une information « :{(ack(N2),payloadl), (ack(N3),payload2)} » correspondant à la suite des messages échangés :
((ack(WM3))) from WN2 to WNl : noncel:Nl, §K2data:{(ack(N2),payloadl), (ack(N3),payload2)}+#P, nonce2, Kl, signKi(noncel:N2, §K2data:{(ack(N2),payloadl), (ack(N3),payIoad2)}+#P, nonce2), signK(Kl)
payloadl et pay ad2 dépendant du code exécutable en question et étant par exemple les contenus respectifs de WM2 et WM3. De préférence, dans un but de privacy, seule la partie qu'il est utile de communiquer l'est, éventuellement après transformation.
On verra l'intérêt de cette propagation d'accusés de réception dans le procédé suivant.
Transactions Bitcoin off-chain
On va maintenant décrire un procédé à base de WN pour matérialiser (sérialiser) des transactions de transfert d'unités de valeur, de sorte à pouvoir les enregistrer par exemple dans une blockchain. Dans la mise en œuvre décrite ci-après, les unités de valeur dont il est question sont des BTC, et des transactions Bitcoin (valides et directement insérables dans la Bitcoin Blockchain) sont générées - mais sans nécessairement devoir les insérer dans la Blockchain, tout en offrant les mêmes garanties que si elles l'étaient. (Le même procédé pouvant être transposé aux autres protocoles à base de blockchain).
On considère ici le cas où la clé privée secrète d'une WN est une clé privée correspondant à une adresse Bitcoin (c'est-à-dire que le WN génère une adresse Bitcoin à partir de sa clé privée secrète). Un WN est ainsi apte à générer une transaction Bitcoin dont l'input (ou un des ses inputs) est connecté à un output (qui lui est destiné) d'une transaction amont (auquel, par exemple, l'utilisateur dudit WN a pu accéder du fait qu'elle est publiée dans la blockchain et qui l'a entrée audit WN en input dans son terminal), et (facultativement) à l'annoncer (broadcast) pour qu'elle soit insérée dans la blockchain. La Figure 9 présente un exemple avec trois Wallet Nodes (« WNl », « WN2 » et « WN3 ») où tout d'abord l'utilisateur de WNl (ou un tiers) crée une transaction Bitcoin entrante (« Txl ») en faveur de WNl (ayant un output donnant 10 BTC à WNl), et classiquement annonce [« broadcast »] cette transaction qui est alors insérée dans la blockchain, ceci ayant pour effet de garantir à l'utilisateur de WNl que seul WNl peut dépenser ces 10 BTC qui lui sont disponibles sur Txl. (A noter que même dans le cas où Txl a été créée indépendamment de WNl, des moyens sont prévus pour que WNl en soit notifié et/ou le vérifie/détecte après son insertion dans la blockchain, attende ou pas un certain nombre de confirmations de blocks, et mette à jour ses variables persistantes d'état par rapport à cette nouvelle entrée.]
Les trois grands traits verticaux représentent l'évolution de ces Wallet Nodes dans le temps (de haut en bas). Ainsi, à la suite de Txl, on voit sur cette figure une séquence de plusieurs transactions entre WN (Tx2, Tx3, etc.), ainsi que d'autres transactions entrantes (à partir d'adresses non-WN, en faveur de WNl, WN2 ou WN3, telle que Tx4 qui est une transaction entrante en faveur de WN2) et des transactions sortantes (à partir de WNl, WN2 ou WN3 en faveur d'adresses non-WN, telle que Tx7), avec à chaque fois que c'est faisable, un remplacement d'au moins deux transactions inter-WN antérieures par une nouvelle, afin qu'il ne reste de préférence qu'une seule (ou le moins possible de) transaction non broadcast entre deux WN données, celles qui ont été remplacées étant supprimées (on entend par là qu'elles sont au moins marquées comme tel et considérées comme si elles l'étaient) et le solde courant restant inchangé par ces remplacements. D'une manière générale, le procédé consiste à simplifier un ensemble de transactions par mises à jour de ces derniers, tirant parti du fait qu'elles ne sont pas broadcast (ci après « non-broadcast »).
Lorsqu'une transaction transférant des BTC de WNl à WN2 est générée (telle que Tx2), elle est signée par WNl (signature classique de transaction Bitcoin) et communiquée à WN2 par message. Une création (ou mise-à-jour ou annulation de transaction, pour autant qu'elle soit non-broadcast) est entérinée par envoi de message (au sens de la section précédente).
Sur la Figure 9, chaque transaction est représentée abstraitement par une boîte (un carré) placée sur une flèche. Le nombre à l'intérieur de cette boîte représente le montant transféré du point de vue de l'utilisateur. Lesdites transactions entrantes et sortantes (c'est-à-dire qui ne sont pas des transactions entre WN) sont représentées par des boîtes plus grandes que les transactions inter-WN. Lesdits soldes sont représentés en italique (le long des grands traits verticaux, à leur droite). Ladite suppression d'une transaction inter-WN est présentée par un petit trait oblique sur le bout de la flèche représentant cette transaction. Lesdites transactions de remplacement (tel que Tx6) sont représentées de manière distincte au moyen d'une flèche à double trait et lorsqu'elles sont elles-mêmes supprimées (comme dans le cas de Tx8) ceci est aussi présenté par un petit trait oblique.
Ainsi, la Figure 9 montre en haut à gauche, une rentrée (Txl) de 10 BTC sur WNl dont le solde était juste avant à 0. Par cette transaction, son solde passe ainsi à 10 (montré en italique). Ces 10 BTC sont transférés (par Tx2) à WN2, le solde de WNl repassant à 0 et le solde de WN2 passant de 0 à 10. Puis WN2 transfère (par Tx3) 5 BTC à WN3 (il lui en reste ainsi 5). Plus bas, 10 BTC sont transférés à WN2 à partir d'une adresse non-WN (par la transaction Tx4 qui a été insérée dans la blockchain), le solde de WN2 passant ainsi de 5 à 15. WN2 transfère 4 BTC à WN3 (Tx5), les soldes de part et d'autre passant ainsi respectivement à (15-4=) 11 et (5+4=) 9.
Π y a maintenant deux transactions non-broadcast de WN2 à WN3 (Tx3 et Tx5) et elles peuvent être remplacées par une transaction transférant leur somme (Tx6, transférant 5+4=9 BTC). Tx3 et Tx5 sont ainsi supprimées, ce qui est montré sur la Figure 9 par les petits traits obliques sur les flèches représentant ces transactions.
WN3 transfère 1 BTC à un tiers non-WN par la transaction Tx7 qui est broadcast. Par conséquent, toute la chaîne des transactions qui l'alimentent (il s'agit ici de Tx6 et Tx4 seulement, comme montré à la Figure 11 décrite plus loin) sont aussi broadcast (insérées dans la blockchain pour que que Tx7 puisse aussi l'être) et ne pourront donc pas être supprimées - elles cessent ainsi d'être remplaçables. WN2 transfère 5 BTC à WNl (Tx8). Alors, comme il y a aussi la transaction Tx2 entre ces WN, ces deux transactions (Tx2 et Tx8) sont remplacées avec Tx9 de WNl à WN2, qui transfère leur différence (10- 5=5 BTC) du fait qu'elles sont en sens inverse. Tx2 et Tx8 sont ainsi supprimées.
Cette transaction de remplacement Tx9 est elle-même supprimée suite à la génération de Txl 2 (toutes deux étant non-broadcast), donnant lieu à la transaction de remplacement Txl 3. (La Figure 9 montre ce remplacement tel qu'il est perçu par l'utilisateur, tandis que les Figures 12 et 13 décrites plus loin en montrent les détails au niveau Bitcoin). TxlO et Txl5 sont générées entre WN1 et WN3, sont de même valeur, en sens inverse et non- broadcast, et peuvent donc simplement s'annuler, c'est-à-dire être supprimées sans donner lieu à une transaction de remplacement. (Ici encore, il est intéressant d'en voir aux Figures 13 et 14 les détails au niveau Bitcoin).
Txll et Txl6 qui sont de même sens (de WN3 à WN2) et non-broadcast, donnent lieu à la transaction de remplacement Txl7 qui transfère leur somme et qui est elle-même remplaçable tant qu'elle reste non-broadcast (détails au niveau Bitcoin aux Figures 14 et 13).
En revanche, la transaction sortante Txl8 [broadcast) provoque le broadcast de la chaîne des transactions qui l'alimentent et qui ne peuvent dès lors plus être supprimées, en l'occurrence il s'agit de Txl3 (voir la Figure 15).
Les transactions Bitcoin présentées à la Figure 9 sont « abstraites », en ce sens qu'elles présentent les montants transférés du point de vue de l'utilisateur mais ne montrent pas les inputs et outputs de ces transactions au sens de Bitcoin. Les Figures 10 à 15 présentent les réelles transactions correspondant aux transactions abstraites de la Figure 9 (en explicitant leurs inputs et outputs).
Le procédé de leur génération se base sur le fait qu'à un solde disponible dans une WN (le nombre en italique sur la figure) correspond toujours au moins (un montant disponible sur) un output en faveur de ce WN (le total de ces outputs étant égal à ce solde), que l'on peut combiner de tels outputs pour les connecter aux inputs d'une transaction générée par ledit WN, et dans le cas d'un dépassement, retourner le surplus (appelé « change ») audit WN par un output supplémentaire (ou comme transaction fees). Et en ce qui concerne la mise en œuvre de remplacements/suppressions, même dans le cas où un output d'une transaction à supprimer (par exemple TxlO, voir Figure 13) est connecté à un input d'une transaction qu'il n'est pas prévu de supprimer (Txll) dans la même opération, ce dernier peut être automatiquement mis à jour pour être connecté à un output disponible d'une autre transaction (Txl3).
Sur les Figures 10 à 15, les input(s) et output(s) des transactions sont montrés par des petites flèches horizontales et leurs connexions sont montrées par de fines lignes courbes pointillées (un output libellé « WN1 » d'une transaction est connecté à un input aussi libellé « WN1 » d'une transaction ultérieure, et ainsi de suite).
Il est implicite sur ces figures que la création d'une transaction comprend Y envoi de message (s) au sens de la section précédente. Par exemple, la génération de Tx3 par WN2 entraîne l'envoi par WN2 d'un message l'indiquant à WN3 et cette transaction n'est réellement créée que sur retour d'un accusé de réception par WN3 (voir aussi la section « Garantie d'engagement en cas de non-responsiveness »).
La Figure 10 montre les transactions réelles Txl à Tx5, qui correspondent aux transactions abstraites de même libellé de la Figure 9. On y voit que, bien que, selon la Figure 9, Tx3 ne transfère que 5 BTC à WN3, son input prend 10 BTC de Tx2 (du fait que Tx2 n'a qu'un output de 10 BTC en faveur de WN2) et retourne 5 BTC à WN2. Autrement dit, Tx3 a un output de 5 BTC en faveur de WN2, en plus de l'output de 5 BTC en faveur de WN3.
Les transactions Tx3 et Tx5 de la Figure 10 sont remplacées à la Figure 11 avec la transaction Tx6, générée par WN2 (et dont la notification de remplacement est envoyée à WN3). Pour effectuer ce remplacement, WN2 peut connecter Tx6 à Tx2 ou à la transaction entrante Tx4. Cette dernière est préférée du fait que la chaîne de transactions d'alimentation à l'amont est plus courte (ou par application d'heuristiques plus complexes). En effet, cette même figure présente la transaction sortante Tx7 qui est broadcast d'emblée et, si au contraire Tx6 était connectée à Tx2, Tx2 aurait aussi dû être broadcast et n'aurait pas pu être plus tard remplacé comme le présente la Figure 12.
La Figure 12 présente le résultat du remplacement de Tx2 et Tx8 avec Tx9, ainsi que la génération des transactions TxlO par WN1 (vers WN3), Txl l par WN3 (vers WN2) et Txl2 de nouveau par WN1 (mais vers WN2).
La Figure 13 présente le remplacement par Txl 3 de la transaction de remplacement Tx9, suite à la génération de Txl 2. En effet, comme le montre la Figure 9 (et la Figure 12), l'effet cumulé de ces deux transactions est de fournir 5+4=9 BTC de WNl à WN2. Ce remplacement a comme effet de mettre à jour l'input de TxlO, ainsi que son deuxième output qui est maintenant connectée à la nouvelle transaction Txl3. On voit aussi sur cette figure la génération des transactions Txl4 à Txl6.
La génération de Txl5 a pour effet d'annuler l'effet de TxlO, en effet elle transfère 1 BTC en sens inverse. La Figure 14 présente le résultat de cette annulation qui entraîne la mise à jour de l'input et l'output de Txll.
Enfin, à la Figure 15, Txll et Txl6 sont remplacées par Txl7 qui connecte son input à l'output de Tx7. Cette Figure montre aussi que WNl génère la transaction sortante Txl8 alimentée par Txl3, ce qui rend Txl3 broadcast et donc non supprimable.
On a déjà décrit plus haut (ainsi que dans la demande PCT WO2016/120826 A2) la propriété de garantie d'intégrité d'exécution et blindness des WN selon laquelle, sur réception d'un WM, le WN exécute nécessairement le WP spécifique indiqué dans ce WM, à l'exclusion de toutes autres instructions, sur les données d'entrée fournies, à l'exclusion de toutes autres données, et n'émet que les WM qui le cas échéant sont prévus dans ledit WP par rapport à ces données d'entrée et les variables persistantes d'état, en assurant Y inaccessibilité sans discontinuité à la fois des données d'entrée, de leur traitement, des variables d'état et du résultat du traitement.
Les opérations décrites ci-dessus de génération et manipulation de transactions Bitcoin (qui peuvent être insérées ou non dans la blockchain) tirent parti de ces propriétés pour sécuriser lesdits suppressions/remplacements. Ainsi, par exemple, la génération par WNl de la transaction de remplacement Tx6 (en référence aux Figures 9 et 11) ne présente pas le risque que WN2 (ou son utilisateur ou propriétaire] ne supprime pas la transaction Tx2 que Tx6 remplace. En effet :
• tant que WN2 ne broadcaste pas Tx2 pour insertion dans la blockchain (par exemple suite à une commande de l'utilisateur), l'utilisateur ne peut pas voir le contenu de Tx2 (ce contenu comprenant la signature par WNl de ce paiement et que l'utilisateur de WN2 aurait pu, s'il n'y avait pas la propriété de blindness, copier et broadcaste plus tard par d'autres moyens) ;
• une commande de broadcast n'est pas prise en compte par WN2 après que Tx2 est supprimée (ou lorsque Tx2 est marquée comme étant en mode « supprimée ») dans WN2 ;
• lorsque le contenu de Tx2 a été dévoilé à l'utilisateur (suite à son broadcast), il ne peut plus être supprimé/remplacé au sens du présent procédé de l'invention.
A noter que toutes les différentes sortes de transactions Bitcoin possibles peuvent être générées. Les transactions sont communiquées par WM aux WN ayant les adresses spécifiées sur ou pour les outputs de ces transactions. Des signatures requises peuvent être communiquées par WM. Par exemple, une transaction requérant n parmi m signatures (multisig) peut être générée par WN et communiquée par WM aux m signataires potentiels dont certains retourneront leur signature. Ainsi, des transactions de micro-paiements [https://en.bitcoin.it/wiki/Contract#Example_7:_Rapidly- adjusted_.28micro.29payments_to_a_pre-determined_party] et d'établissement de canaux de paiements et de paiements dans de tels canaux, notamment selon le protocole Lightning Network [https://lightning.network/lightning-network-paper.pdf] peuvent être générées par WN et simplifiés selon le procédé décrit ici.
Le fait de ne pas avoir à insérer une transaction dans la blockchain présente les avantages notamment de (1) confirmation instantanée, (2) non-paiement de fees et (3) volume théoriquement illimité des transactions possibles.
Dans quels cas a-t-on besoin d'insérer une transaction dans la blockchain ?
— Les transactions entrantes (à partir d'adresses non-WN) doivent nécessairement être insérées dans la blockchain au préalable afin de se prémunir d'un double spend. Ainsi, le WN ne prend en compte (ou n'entérine) une transaction entrante qu'une fois qu'elle est visible dans la blockchain.
— Les transactions sortantes ne sont broadcast que facultativement, dans la mesure où il n'y a (presque) aucun risque de double spend par le WN (le risque de violation (« tampering ») d'un système-sur-puce de l'état de l'art étant faible, d'autant plus en présence de WN miroirs - voir la description des WN miroirs plus haut). En pratique, une transaction sortante est insérée dans la blockchain au moment où au moins un output destiné à une adresse non-WN est prévu d'être dépensé. Son contenu devient alors accessible, ainsi que les transactions amont, et ces transactions cessent d'être supprimables.
— Les transactions inter-WN peuvent avantageusement ne pas être broadcasté, mais il n'est pas interdit de le faire (n'importe quand). Une transaction broadcastée (en vue de la faire insérer dans la blockchain) ne sera pas remplacée puisqu'elle ne peut être supprimée, mais les autres transactions continuent à présenter les avantages susmentionnées sauf lorsqu'elles l'alimentent (la perte d'avantage est locale à la transaction broadcast + la chaîne des transactions amont qui l'alimentent). On a vu que les transactions Bitcoin inter-WN générées sont entérinées sur réception d'accusé de réception (de leurs bénéficiaires respectifs) et que deux transactions entre deux WN données sont, dans le cas où aucune n'est broadcastée, simplifiées (remplacées par une seule transaction ou simplement annulées) dans certains cas. On va maintenant décrire, en référence aux Figures 16 à 19, un procédé de simplification (aussi par remplacement ou simple annulation) d'une pluralité de transactions entre plus de deux WN. Ce procédé utilise le procédé de propagation d'accusés de réception décrit plus haut, leurs payloads (aussi décrit plus haut) propageant l'information des BTC transférés entre des WN non directement voisins.
Les Figures 16 à 19 reprennent l'exemple des Figures 9 à 15 mais à la différence près que sur les Figures 16 à 19, la transaction Tx7 est générée (par WN3) après que la transaction Txl3 est entérinée (générée par WNl). (A noter que le même procédé aurait pu être décrit sur l'exemple présenté aux Figures 9 à 15, mais en considérant que Tx7 n'est pas broadcastée avant que Txl3 ne soit entériné.) Grâce à la propagation par WN2 vers WNl de l'accusé de réception par WN3 de Tx6 pour 9 BTC, les transactions Tx9 et Txl2 pour un total aussi de 9 BTC étant entérinées (sur réception par WNl d'accusés de réception de la part de WN2), WNl remplace ces trois transactions par une seule transaction Txl9 qui transfère 9 BTC de WNl à WN3 directement.
En variante de mise en œuvre (et c'est cette variante qui est présenté dans les Figures 16 à 19), tout d'abord Tx9 (5 BTC) et Txl2 (4 BTC), toutes deux de WNl à WN2, sont remplacées par Txl3 (9 BTC, de WNl à WN2), puis cette dernière et Tx6 (9 BTC, de WN2 à WN3) sont remplacées par Txl9 (9 BTC) de WNl à WN3.
Pour présenter les transactions Bitcoin réelles générées, la Figure 17 reprend la Figure 13 mais sans que Tx7 et les suivantes ne soient encore générées. La Figure 18 montre la transaction Txl9 (9 BTC de WNl à WN3) qui remplace les transactions Txl3 (9 BTC de WNl à WN2) et Tx6 (9 BTC de WN2 à WN3, en prenant 10 BTC de Tx4 et en se gardant un change de 1 BTC) montrés à la Figure 17. Enfin, comme on le voit à la Figure 19, l'ensemble des neuf transactions inter-WN de cet exemple ont été simplifiées en un ensemble de deux transactions seulement (Txl9 et Txl7).
On comprend que ce procédé peut aussi être appliqué pour simplifier des chemins de transactions inter-WN dans un réseau de plus de trois WN (sans limitation de ce nombre).
On notera aussi que des transactions peuvent être remplacées dans le but d'inclure des paiements de transaction fees lorsqu'elles sont broadcast.
Les unités de compte dont il a été question (BTC) sont avantageusement mises en œuvre sous forme de tags et lesdites transactions Bitcoin sont des transactions de transfert de tags dont les UA sont des BTC (comme décrit plus haut).
Ainsi la possibilité de faire consommer des UA de tags par différents types de programmes WP (Smart Contracts), pour autant qu'ils soient habilités à le faire (cf. description des tags et CCC), permet de conférer à un système basé sur Bitcoin la puissance des smart contracts d'un système tel que Ethereum.
Réseau mixte SoCs WN et Enclaves WN Pour rappel, la demande PCT No. WO2016/120826 A2 décrit un système-sur-puce (SoC WN) dans lesquels, en réaction à la réception d'un message par un dispositif comprenant un processeur, un premier programme (appelé ici « WNRoT », comme « Wallet Node Root of Trust »), composé d'instructions non modifiables, charge dans ce système-sur-puce un code exécutable dont le hash correspond à un hash donné inclus dans ledit message reçu. L'exécution qui suit de ce code exécutable, dans ledit dispositif, est ainsi prédéterminée par rapport à ce message reçu. Ladite correspondance est garantie dans la mesure où des restrictions d'accès appropriées entre les différentes parties dudit système-sur-puce existent et ne peuvent pas être altérées. Le code exécutable ainsi imposé par l'émetteur du message est quelconque et apte à mettre à jour des variables d'état (pour certaines, seul le code exécutable les possédant étant apte à les modifier) et générer encore d'autres messages qui vont eux-mêmes propager ce même code de hachage vers encore d'autres tels dispositifs.
Le système permet ainsi de garantir les engagements exécutables (Wallet Programs, ou Smart Contracts) que représentent lesdits codes exécutables. Par exemple, la Figure 7 de cette demande PCT présente un paiement de 10 unités de compte (UA) d'un nœud "WN 1" à un nœud "WN 2", le même Wallet Program, exécuté séparément sur chacun de ces deux nœuds - avec des messages d'entrée différents et sur des variables persistantes d'état différentes, en l'occurrence ces variables sont des soldes d'UA -, retranchant 10 UA du solde (« balance ») de WN 1 et ajoutant 10 UA au solde de WN 2, un WM indiquant ce paiement ayant été envoyé de WN 1 vers WN 2.
Cette garantie n'existe cependant que dans la mesure où ledit dispositif reste responsif (actif, allumé) - limitation enlevée grâce aux WN miroirs décrits plus haut (voir aussi plus loin la section « Garantie d'engagement en cas de non-responsiveness ») - toutefois on peut noter que certains smart contracts, tels que le WP de paiement susmentionné, peuvent fonctionner même sans contrainte de responsiveness : même si le destinataire du paiement est non-responsive, dans une mise en œuvre qui prévoie les renvois de WM, le WN (ici WN 2) censé être payé va recevoir le montant payé et augmenter son solde d'autant dès qu'il sera responsive à nouveau.
Cette garantie est due au fait que (i) le dispositif récepteur d'un message réagit selon le smart contract que ce message impose et (ii) que ce message a lui-même été généré dans le cadre exactement du même smart contract dans la mesure où il a été produit par le même code exécutable. Ce dispositif est mis en œuvre en un système-sur-puce muni d'une clé privée secrète (accessible exclusivement par un sous-système de signature « Sign », cf. Figure 5 de cette demande PCT) et apte :
* en réaction à la réception d'un message (WM) contenant un hash (#WP), à charger pour exécution, à partir d'un sous-système de codes exécutables quelconques (« Wallet Programs »), le code exécutable quelconque WP dont le hash du contenu correspond audit hash (#WP) contenu dans ledit message (WM) ;
* avant la signature d'un message (WM) à émettre, à amener le sous-système de signature
(Sign) à générer ou à vérifier le hash du code exécutable quelconque couramment chargé (#WP), pour inclusion dans ledit message (après éventuel chiffrement de ce hash avec d'autres données à transmettre), garantissant ainsi que le même hash est re-propagé d'un message reçu à un message émis (ou, avantageusement et comme déjà décrit, les WN s'échangent des WM incluant des hachés différents de WP différents à exécuter, mais dont la correspondance est garantie au moyen d'une spécification commune des WP à exécuter, incluse dans les WM).
Et on a vu ici, à la section « CM MU », une autre forme de réalisation d'un SoC WN, dans lequel essentiellement les fonctions propres aux WN (correspondant aux fonctionnalités des parties Check/Load, Sign, etc.) ont été encapsulées dans une unité dite « Cryptographie Memory Management Unit ».
On va maintenant décrire un procédé permettant de faire coopérer ensemble des entités de type SoC WN et des entités de type unité sécurisée nommées ici « enclave » reprenant les principes des WN énoncés ci-dessus, notamment le principe qu'au niveau de chaque nœud les programmes WP sont chiffrés et le nœud en question accède à ces programmes chiffrés de manière sécurisée sur la base de hachés de ces programmes (#WP) contenus dans les messages entrants (WM). Dans la suite du texte, le terme « enclave » est pris au sens général « TEE » (Trusted Execution Environment) et n'est pas restreint aux enclaves SGX des processeurs Intel.
Le terme « enclave » peut donc indifféremment désigner soit l'enclave elle-même, soit l'environnement sécurisé apte à générer une telle enclave.
Ainsi, un WM peut être envoyé par un système-sur-puce WN ou une enclave et reçu par un système- sur-puce WN ou une enclave. On va maintenant décrire les protocoles utilisés pour ces échanges.
Pour rappel, selon des options de schéma présentés plus haut, un message quelconque provenant d'un SoC WN a la forme suivante : message: noncel, §PK2data..., nonce , PKI, SignsKi(noncel, §PK2data..., nonce ), signsi((PKl ) où
• SK1/P 1 est la paire de clés privée/publique de l'émetteur du message,
• SK2/PK2 est la paire de clés privée/publique du destinataire du message et
• SK est la clé privée de l'autorité de confiance représentant ou agréant le fabricant, certifiant la clé publique PKI de l'émetteur,
• §pK2data... est le contenu (payload) du message, ce contenu étant chiffré avec PK2,
• nonce2 identifie le message en question et noncel est l'identifiant du message entrant reçu qui avait déclenché le traitement qui a donné lieu à ce message, et
• la signature signsK(PKl) (appellée « certificat ») est censée être vérifiée par le récepteur du message en la décryptant avec la clé publique PK de l'autorité de confiance représentant ou agréant le fabricant, cette vérification ayant pour but de s'assurer que le message provient d'un SoC WN.
On considère ici que dans le cas de réception d'un message quelconque provenant d'une enclave :
• le certificat (la signature signsK^PKl) de l'autorité de confiance) indique qu'il s'agit d'une enclave et
• §PK2data... inclut une attestation de l'authenticité du programme exécuté et de l'intégrité de cette exécution.
Une enclave est ici caractérisée en ce qu'elle a les propriétés suivantes :
• « isolation » : l'enclave isole ses données et traitements et à aucun moment son état d'exécution (ou pile d'exécution) n'est visible du système d'exploitation ;
• « secret key » : l'enclave possède une clé privée secrète accessible seulement par elle ;
• « remote attestation » : l'enclave est apte à fournir une attestation d'authenticité et d'intégrité d'exécution d'un programme qu'elle exécute (en particulier dudit premier programme WNRoT ou du Wallet Program exécuté) ;
• « certified » : l'enclave ou le processeur qui contient l'enclave est certifiée par une autorité de confiance représentant ou agréant le fabricant du processeur (autorité qui fournit sa signature de la clé publique ou de l'adresse de l'enclave) ; et
• « general-purpose » : ledit premier programme composé d'instructions non modifiables chargées en premier dans l'enclave - tel que WNRoT dans le cas du protocole WN - peut être sélectionné parmi une pluralité de premiers programmes (correspondant au protocole utilisé). En ce qui concerne la dernière propriété ci-dessus (« general-purpose »), comme ledit premier programme peut être sélectionné parmi une pluralité, l'adresse (ou la clé publique) de l'enclave certifiée ne suffit pas à garantir qu'il se comporte comme un WN (comme c'était le cas jusqu'ici pour le SoC WN), il faut en plus s'assurer que ledit premier programme sélectionné est « WNRoT ».
Ainsi, le protocole (protocole WN) de communication entre wallet nodes, pour un WM à envoyer d'un nœud WN1 à un n ud WN2, WN2 étant ici une enclave (dont WN1 a vérifié le certificat), comprend les étapes suivantes :
1. WN1 annonce à WN2 par un pré-message l'existence d'un WM à lui envoyer ;
2. WN2 génère une attestation (d'authenticité du programme et d'intégrité de son exécution courante) pour WNRoT, le retourne à WN1 ;
3. WN1 vérifie l'attestation reçue et (en cas de vérification réussie) envoie WM à WN2.
Ici, dans la mesure où ces trois étapes se déroulent dans une même enclave qui reste dédiée à cette instance de l'exécution du protocole et qui soit apte à recevoir le message attendu en exclusivité, l'enclave garantit l'authenticité et l'intégrité de WNRoT, c'est-à-dire que l'on est assuré que l'enclave se comporte comme un WN.
Dans le cas où ce comportement en exclusivité n'est pas garanti, (voire même pour accroître la sécurité au cas où ce comportement est assuré), alors à l'étape 2, WN2 génère un Nonce (nombre aléatoire nouvellement généré qui n'est utilisé qu'une seule fois) et l'envoie en plus de l'attestation, et à l'étape 3, WN1 chiffre avec ce Nonce reçu le contenu du WM qu'il envoie à WN2. Plus précisément, les étapes comprennent alors les suivantes : 1. WN1 annonce à WN2 par un pré-message l'existence d'un WM à lui envoyer ;
2. WN2 génère une attestation (d'authenticité du programme et d'intégrité de son exécution courante) pour WNRoT, ainsi qu'un Nonce, et retourne à WN1 l'attestation et le Nonce ;
3. WN1 vérifie l'attestation reçue, chiffre avec le Nonce reçu le contenu du WM et l'envoie à WN2. Dans une certaine mise en œuvre, le WM envoyé à l'étape 3 comprend le haché #WP (comme décrit plus haut dans la présentation des WM), et WN2 peut alors ensuite :
• charger le WP correspondant (via une table de hachage "Program Hash Table" PHT) et
• l'exécuter sur les données contenues dans le message WM reçu à l'étape 3 (et que, le cas échéant, WN2 a décryptées avec la clé Nonce).
En variante, avantageusement, à l'étape 1, WN1 envoie #WP et, à l'étape 2, WN2 charge WP (exploitant ainsi le temps d'attente du WM qui sera reçu à l'étape 3). Plus précisément, les étapes comprennent alors les suivantes :
1. WN1 transmet #WP à WN2 ;
2. WN2 génère une attestation pour WNRoT (et un Nonce), retourne à WN1 l'attestation (et le
Nonce) et charge WP ;
3. WN1 vérifie l'attestation reçue, puis (chiffre avec le Nonce reçu le contenu du WM et) envoie le WM à WN2 ;
4. WN2 (décrypte les données contenues dans WM et) exécute WP sur les données (décryptées) du WM.
Dans le cas où WN1 est une enclave - c'est-à-dire que le certificat de la clé PKI de l'émetteur d'un message reçu (i.e. la signature signsK(PKl) de l'autorité de confiance, qui peut être inclus dans le message reçu ou accessible par ailleurs) indique que WN1 est une enclave - après avoir vérifié ce certificat, WN2 vérifie que le message reçu à l'étape 1 ou 3 inclut (dans §PK2data...) une attestation de l'authenticité du programme exécuté et de l'intégrité de cette exécution.
Comme déjà décrit, dans le cas où le destinataire d'un WM est un SoC WN, le WM peut directement être de la forme ci-dessous : message: noncel, §PK2data+#WP, nonce2, PKI, SignsKi(noncel, §PK2data+#WP, nonce2), signsK(PKl) ce qui, comparé au protocole pour envoyer un WM à une enclave, présente l'avantage d'une seule étape au lieu de trois, ainsi que d'une surface de vulnérabilité réduite.
Avantageusement, dans le cas où, suite à un message reçu, une enclave est apte à dynamiquement (re)générer des clés dérivées « SKd.PKd » (privée/publique, la clé privée n'étant accessible que par l'enclave) à partir d'une clé secrète principale (seal key] et du haché #WP d'un programme WP donné, les données [data ou « payload ») d'un message WM autres que #WP sont chiffrées au moyen de la clé dérivée secrète SKd et ne peuvent ainsi être décryptées que par une enclave spécialisée (initialisée) pour le WP donné.
En reprenant le schéma unifié, le chiffrement avec PK2 est ici remplacé par un chiffrement avec PKd2, sauf pour #WP qui reste chiffré avec PK2. message: noncel, [§pKd2data,] §PK2#WP, nonce2, PKI, SignSKi(noncel, [§PKd2data,] §PK2#WP, nonce2), signsK(PKl)
A réception d'un message, le WN destinataire peut dans un premier temps au moins décrypter #WP avec sa clé privée SK2, en dériver une paire de clés SKd2,PKd2 si ce n'est pas déjà fait, et communiquer PKd2 à l'émetteur s'il ne l'a pas déjà.
Dans le cas où le destinataire d'un tel message est un SoC WN, l'échange se fait en un seul message dans le cas où l'émetteur connaît PKd2, et avec une interaction supplémentaire pour communiquer PKd2 à l'émetteur sinon. Comme déjà évoqué plus haut, dans le cas où le destinataire d'un tel message est une enclave, le protocole WN (détaillé ci-dessous) prévoit l'envoi par WN2 à WN1 d'une attestation d'exécution et d'intégrité de WNRoT (c'est une condition automatiquement requise par WN1) avant que WN1 ne transmette à WN2 le contenu data du message. Ainsi, l'approche est la suivante : lors de la réception d'un message (WM1) comprenant #WP, l'enclave retourne l'attestation pour WNRot et attend un message complémentaire (WM2) pour connaître data, et charge (via une table de hachage "Program Hash Table", PHT) un programme WP correspondant à #WP puis l'exécute dès que possible sur data; enfin, avantageusement une clé aléatoire de chiffrement peut être envoyée de WN2 à WN1 pour renforcer la sécurité du fait que WN1 chiffre data avec cette clé. L'invention tire parti du fait que les enclaves impliquent un protocole en deux temps (car WN1 doit vérifier WNRoT avant de communiquer le contenu data du message) et que les clés dérivées nécessitent aussi un protocole en deux temps (car l'enclave doit au préalable être dynamiquement reconfiguré en fonction d'un message entrant comprenant un #WP], et combine ces deux temps respectifs dans les quatre étapes suivantes : 1. WN1 transmet #WP à WN2 (dans un message WM 1) :
message: noncel, §PK2#WP, nonce2, PKI, SignsKi(noncel, §PK2#WP, nonce2), signsK(PKl) 2. WN2 génère une attestation pour WNRoT (et optionnellement un Nonce, non montré ci- dessous), retourne à WN1 l'attestation et la clé dérivée PKd2 (ainsi que le cas échéant ledit Nonce] et charge WP :
message: nonce2, §PKiPKd2+WNRoT, nonce3, PKI, SignSKi(nonce2, §PKiPKd2+WNRoT, nonce3), signsK(PK2)
3. WN1 vérifie l'attestation reçue, puis envoie un message (WM2) à WN2 (après avoir, le cas échéant, chiffré avec ledit Nonce reçu le contenu de ce message) ;
message: nonce3, §PKd2data, nonce4, PKI, SignsKi(nonce3, §PKd2data, nonce4), signsi((PKl ) 4. WN2 décrypte les données §PKd2data contenues dans WM2 avec SKd2 (et le cas échéant ledit
Nonce) et exécute WP sur les données décryptées data.
Avantageusement et comme déjà dit plus haut, à l'étape 2, la paire de clés SKd2,PKd2 est (re)dérivée dynamiquement (dès la réception de #WP depuis WN1 à l'étape 1) et l'on peut alors éviter d'utiliser la clé SK principale de l'enclave.
Enclaves miroirs
En ce qui concerne les contraintes sur les nœuds miroirs décrites notamment aux sections « WN Miroirs » et « Tags », les « hard WN » peuvent être constitués soit par des SoC, soit par des enclaves.
Interaction entre Wallets Nodes et le monde physique
On rappelle que dans la demande WO2016120826A2, on avait décrit la notion de « tags » associés à des instances de produits susceptibles d'être transférés d'une entité à laquelle associée un « Owner Wallet Node » OWN vers une autre entité à laquelle est associé un autre OWN, le Tag ayant dans ce cas été créé par un OWN initial.
Ainsi lorsque le tag est transféré d'un nième OWN à un n+lième OWN, il est garanti (par conception des WN) que le nième OWN ne le détient plus.
Les transactions de tels transfert de « tags » entre un OWN et le suivant sont décrites en détail ci- dessus aux sections « Tags » et « CMMU ».
Concrètement, un OWN initial attribue à un nouveau Tag un numéro de tag aléatoirement généré et dans la mesure où aucun autre OWN initial ne va jamais donner ce même numéro à un autre tag, les numéros des tags sont uniques.
Pour illustrer l'utilisation d'un tag, supposons tout d'abord qu'un tag donné représente une chaise, avec les caractéristiques suivantes :
- un numéro de série (donné par le fabricant de la chaise) a été apposé en dessous de la chaise lors de sa fabrication, de manière pratiquement inaltérable, du moins inaltérable sans que l'altération soit visible (si on regarde en dessous de la chaise),
- le OWN initial est associé au fabricant de la chaise,
- le OWN initial associe au numéro de tag le numéro de série de la chaise.
Dans cet exemple, le tag peut avantageusement être matérialisé par un tag RFID (collé sous la chaise) dans lequel sont par exemple stockés le numéro de tag, le numéro de série associé, et un identifiant du OWN initial (et par la suite un identifiant du OWN courant).
A noter que le tag pourrait en variante être matérialisé par une étiquette en papier où sont inscrites ces mêmes informations, ou encore le tag pourrait ne pas être matérialisé spécifiquement mais être identifiable par le numéro de série marqué sous la chaise ; en effet il est pas nécessaire de matérialiser le tag puisque les données d'un tag sont transmises d'un OWN au suivant.
On va maintenant décrire une forme de réalisation où, à un objet identifié par un tag (instance de produit), on associe un WN capable d'interagir, via un ou plusieurs capteurs et/ou un ou plusieurs actionneurs, avec le monde physique de l'extérieur de l'objet en question. Dans la suite, un tel WN est appelé « Body SoC » ou « BS » - en réalité, le WN en question est « hébergé » par ledit Body SoC (ou par un « Body Enclave »), comme on le décrit plus loin, mais dans un but de simplicité on considère ici le cas particulier où un BS n'héberge qu'un seul WN et, et par abus de langage dans le présent chapitre, on amalgame ces deux entités distinctes que sont le Body SoC (qui est une entité hardware et software] et le WN (qui est une entité software).
Prenons ainsi un exemple d'un tag représentant une serrure de porte d'accès à un logement.
Ici encore, le fabricant génère un numéro de série, bien visiblement gravé sur la serrure et pratiquement inaltérable, et l'associe au numéro de tag (généré par son OWN initial représentant le fabricant).
Dans cet exemple, le fabricant va avantageusement associer à cette serrure un BS, qui sera enfoui de façon inaltérable dans la serrure et connecté avec un capteur d'état apte à fournir l'état courant de la serrure (ici « ouvert » ou « fermé » dans une réalisation basique), ainsi qu'avec un actionneur tel qu'un contacteur électrique alimentant un électroaimant, pour sélectivement verrouiller ou déverrouiller la porte.
Le BS de la serrure est apte à transmettre (par un WM) l'état courant de la serrure à son OWN (typiquement associé au gestionnaire du logement), et ce dernier peut, à l'aide d'un WM envoyé au BS, agir sur le contacteur électrique pour changer cet état (i.e. ouvrir ou fermer la porte).
Dans le cas où un locataire, auquel est associé un autre OWN, loue ce logement, le contrôle du BS est transféré (par une transaction de transfert de tag - voir plus haut) du OWN du gestionnaire au OWN du locataire, puis automatiquement retransféré (par une transaction inverse) au OWN du gestionnaire en fin de location.
Avantageusement, le OWN du gestionnaire pourra vérifier lors d'une procédure proposée au gestionnaire (par exemple par un moyen automatique de lecture/reconnaissance de caractères) que le numéro de série de l'objet serrure dans le BS associé à cette serrure correspond effectivement au numéro de série gravé sur la serrure.
Un objet d'un BS est de fournir aux OWN concernés un état courant de l'objet associé de façon à pouvoir s'y fier, et de pouvoir agir sur cet objet de façon fiable.
A cet effet, selon une architecture possible, un BS tel que décrit ici est physiquement distinct d'un module de capteur et/ou d'actionneur (ou d'un module de plusieurs capteurs et/ou actionneurs), et des moyens de communication sécurisés sont prévus entre les deux.
En référence à la Figure 24, on a représenté l'architecture d'un SoC associé à un module capteur/actionneur SAM (pour « Sensor/Actuator Module »).
La connexion entre le BS et le module SAM s'effectue à l'aide d'une liaison sans fil dédiée. De préférence, ce canal est doté de moyens permettant de détecter la rupture ou l'altération de la communication entre le WN et le ou les détecteurs ou capteurs, susceptible de révéler que le ou les capteurs ou détecteurs ont été fraudés, remplacés, altérés, etc.
Les capteurs peuvent être de toute nature : aptes à effectuer une mesure physique et/ou chimique, aptes à révéler un état binaire d'une élément du monde physique (ouvert/fermé, etc).
La liaison sans fil dédiée peut incorporer côté BS et côté SAM une unité de gestion de communication (CMU pour « Communications Management Unit ») associée à un élément de communication sans fil (WCE pour « Wireless Communications Elément »).
La sécurité de la liaison entre le BS et le circuit du ou des capteurs peut comprendre plusieurs aspects. a) Sécurisation couche physique Elle peut se fonder sur une mise en contact électrique entre le BS et le circuit, ou sur une liaison sans fil. Dans le premier, cas la sécurisation de la couche physique peut être mise en œuvre en déterminant au niveau du BS les caractéristiques d'impédance, statiques ou dynamiques, du circuit de capteur/actionneur. Les caractéristiques d'impédance du circuit, matérialisées par exemple par la forme d'onde obtenue en appliquant une impulsion électrique, sont mémorisées à la première connexion, et vérifiées régulièrement. Une modification de la réponse implique que le circuit a été déplacé, altéré, voire remplacé.
Dans le cas d'une liaison sans fil (radioélectrique, optique, acoustique, ...], l'analyse du comportement de la liaison dans le domaine temporel (« time-domain ») ou dans le domaine fréquentiel « frequency- domain » peut également être mémorisé à la première connexion et permet de vérifier que le circuit n'a pas été déplacé, altéré ou remplacé.
On comprend que ces vérifications sont effectuées indépendamment du contenu des messages échangés entre le BS et le circuit.
On réalise ainsi un apprentissage de la liaison physique entre le BS et le circuit.
b) Sécurisation des échanges
Cette sécurisation peut être réalisée selon différentes approches selon que le circuit capteur/actionneur possède ou non un moyen de traitement.
Dans le premier cas, les valeurs (en général analogiques) fournies par le ou les capteurs peuvent faire l'objet d'un test de vraisemblance (gamme de valeurs possibles), ou les signaux de commande envoyés par le BS vers un actionneur peuvent être mis à profit (d'une manière analogue au test de la couche physique) pour vérifier l'impédance caractéristique du circuit.
Dans le second cas, on peut sécuriser les échanges par exemple en émettant de façon périodique ou continue à partir du BS un signal vers ce circuit et en vérifiant si la réponse est conforme à une réponse attendue. La détection d'une altération peut être une détection d'une substitution, d'un déplacement ou d'un changement des conditions opératoires du module de capteurs et/ou de détecteur, par exemple par une variation du signal attendu, dans la communication entre le WN et le circuit du ou des capteurs ou détecteurs.
En sus de l'apprentissage décrit plus haut, ou en remplacement, l'association entre un BS et un SAM s'effectue par une procédure initiale d'appariement entre le BS et le SAM, puis une procédure de vérification de la persistance de l'association est réalisée.
Dans une forme possible d'appariement, l'unité de gestion de communication CMU prévue dans le BS provoque l'envoi vers le SAM, via l'élément WCE associé, soit automatiquement, soit dans le cadre de l'exécution d'un WP incluant une fonction d'appariement, d'un signal d'appariement, et la réponse après traitement spécifique de ce signal par le SAM est mémorisée. Il peut s'agir d'une réponse contenant un ID unique du SAM, et/ou un ID résultant de la transformation d'un ID envoyé par le BS, d'un ID dérivé d'une fonction non clonable PUF (voir plus haut), etc.
La persistance de l'association entre le BS et le module peut être mise en œuvre par exemple par envoi périodique du BS vers le module, via l'unité CMU et l'élément WCE, d'un signal encodant une information déterminée (périodicité largement variable selon l'application, qui peut aller par exemple de la microseconde à la journée) et par la vérification d'une réponse reçue (qui peut avantageusement comporter une composante variable de manière à éviter la fraude par écoute).
Le BS et le SAM étant appariés, les signaux délivrés par le ou les capteurs du SAM et à transmettre vers le BS, et/ou les signaux de commande engendrés au sein du BS et à transmettre au SAM, peuvent être transmis d'un élément à l'autre par un protocole approprié, pouvant mettre en œuvre toute solution de sécurisation appropriée (encodage ou cryptage des données, mécanisme d'adressage permettant notamment de traiter le cas où un même BS possède des liaisons avec plusieurs modules SAM, etc.). Par ailleurs, cette même transmission peut être mise à profit pour vérifier que le SAM occupe une position fixe par rapport au BS (par exemple par un processus de « distance bounding » utilisant les temps de trajets). Selon l'architecture retenue, les traitements liés à l'appariement, à la persistance de la liaison et au transfert de données peuvent être mis en œuvre soit dans un processeur dédié appartenant à l'unité CMU, soit dans un autre moyen de traitement du BS.
Par ailleurs, les données provenant du ou des capteurs d'un SAM sont stockées dans une mémoire de variables d'état Sens/Act partagée par les différents WP et gérée par une unité de gestion de mémoire appropriée, associée ou non à la CMMU (ici associée à la CMMU et désignée par CMMU-S/A).
On comprend que, selon la nature de la couche physique et la nature du protocole d'échange entre le BS et le circuit, les unités CMU peuvent prendre des formes très différentes. Dans le cas de la vérification d'une couche physique, le CMU côté BS peut comprendre un circuit simple en électronique analogique, délivrant un signal logique révélant si la liaison a été altérée par rapport à celle établie lors de la première connexion.
A l'opposé, dans des modes de réalisation plus sophistiqués, le CMU côté BS et côté circuit peuvent comprendre des microcontrôleurs dédiés en liaison avec des circuits de pilotage de la liaison sans fil (modulation, amplification, antenne ou autre émetteur, ...).
De préférence, un protocole standard est mis en œuvre de façon que différents types de SAMs répondant à ce standard puissent être connectés à un même BS.
On prévoit aussi qu'un BS puisse communiquer, via le même élément WCE ou par plusieurs WCE, avec plusieurs SAMs ayant chacun leur fonction.
De préférence, la partie émission/réception sans fil d'un SAM est physiquement intégré de façon sécurisée (noyé dans résine, etc.] avec la fonction physique à remplir (capteur, actionneur) de manière à limiter le risque de fraude au niveau du monde physique.
La communication sans fil entre le BS et le SAM peut être mise en œuvre par l'une quelconques des technologies connues, et notamment capacitive magnétique, électromagnétique (y compris optique), acoustique (ultrasons), etc.
Selon les cas, l'élément WCE sera une plaque, bobine ou antenne, une source de rayonnement électromagnétique, un élément piézoélectrique ou équivalent, etc.
Selon la technologie retenue, la CMU comportera les circuits de modulation et d'amplification adaptés. Dans le cas d'une communication par technologie en champ proche NFC, on peut, dans une forme de réalisation particulière, réaliser un SAM en se basant sur un capteur ou un actionneur du commerce, auquel on adjoint une étiquette NFC (ou autre tag RFID) du commerce, le protocole d'échange avec l'étiquette NFC permettant de réaliser l'appariement et la persistance tels que décrits plus haut. La transmission des signaux d'actionnement ou des signaux captés, qui dans ce cas particulier n'est pas assurée par l'étiquette NFC, est gérée dans ce cas par une interface supplémentaire spécifique, filaire ou sans fil.
Selon une autre forme, on utilise un module NFC programmable dotée de broches d'entrée sortie filaires pour le ou les capteurs et le ou les actionneurs. L'ensemble est encapsulé, avec le cas échéant une batterie, pour réaliser l'intégrité physique.
Dans ces deux dernières formes de réalisation, un aspect important de la sécurité est que l'ensemble capteur/étiquette NFC ne soit pas déplacé par rapport au BS. Cette sécurisation peut être mise en œuvre de façon particulièrement avantageuse en analysant un ou plusieurs paramètres du domaine temporel de la transmission sans fil entre le BS et l'étiquette (durée des impulsions, retard des impulsions, amplitude de la composante ondulatoire des impulsions, temps de décroissance des impulsions, etc.).
Cette sécurité peut encore être renforcée en analysant un ou plusieurs paramètres du domaine fréquentiel de la transmission (valeurs de spectre).
Réseau mixte Body Enclave etSoC WN
On va maintenant décrire un procédé permettant de faire coopérer ensemble : • des entités de type Système-sur-puce WN (comme décrit la demande PCT No. WO2016/120826 A2 et plus haut dans ce texte) et
• des enclaves dites « body enclave », aptes à exécuter des WP et ayant accès à des moyens d'entrée/sortie et de mémoire, comme les enclaves WN décrits plus haut, mais en plus :
o pouvant héberger chacun une pluralité de WN (WN réel ou WN contresignataire] qui sont dynamiquement initialisés sur réception de messages,
o étant apte à partager des WP entre différents WN hébergés,
o étant apte à manipuler
non seulement des données au niveau de chaque WN hébergé (telles que les tags) et des données (PSV] au niveau de chaque WP d'un WN hébergé,
mais aussi des données au niveau du body enclave,
o étant susceptibles d'être connectés au monde réel par des capteurs et actionneurs (SAM), et
o étant apte à stocker des données de capteurs et actionneurs et à les partager entre différents WN hébergés et différents WP d'un WN hébergé, sélectivement.
La paire de clés (SK/PK) privée/publique de chaque WN hébergé par une body enclave est générée (blindly, sans la dévoiler) par le premier body enclave qui l'héberge puis, avantageusement, transmise aux body enclaves qui hébergent ses contresignataires (aussi blindly, la clé privée SK restant secrète), cette génération permettant aux WN hébergés de recevoir des contenus (payload) de message chiffrés au moyen de leurs clés publiques PK (alternativement, un WN hébergé peut recevoir des contenus chiffrés avec une clé dérivée - voir plus loin le procédé utilisant une paire de clés dérivées « SKd,PKd »).
Les enclaves WN décrites plus haut à la section « Réseau mixte SoCs WN et Enclaves WN » sont considérés ici comme cas particulier de body enclave incluant un seul WN.
L'approche décrite à la section « Réseau mixte SoCs WN et Enclaves WN » est ici reprise, toutefois, dans le protocole WN (pour envoyer un WM d'un nœud WNl à un nœud WN2), dans le cas où le nœud destinataire WN2 est hébergé dans une body enclave (ci-dessous nommée « Body2 »), l'adresse de WN2 (dérivée de sa clé publique) est transmise en plus, de manière à permettre à Body2 de s'initialiser par rapport à WN2 (et non seulement par rapport au #WP). Ainsi, par exemple la première variante décrite à la section « Réseau mixte SoCs WN et Enclaves WN » est modifiée comme suit (les messages sont ici présentés schématiquement pour indiquer l'approche, sans que ce soit limitatif) :
1. WNl transmet #WP ainsi que l'adresse de WN2 à une body enclave Body2 hébergeant WN2 message: noncel, §PKBody2WN2+#WP, nonce2, PKI, SignsKi(noncel, §PKBody2WN2+#WP, nonce2), signSK(PKl)
2. Body2 génère l'attestation par rapport l'exécution de WNRoT, retourne à WNl cette attestation, s'initialise pour WN2 et charge WP ;
message: nonce2, §PKiatt(WNRoT), nonce3, PK2, SignsKBody2(nonce2, §PKiatt(WNRoT), nonce3), signsK(PKl )
3. WNl vérifie l'attestation reçue, puis envoie à Body2 un contenu data chiffré avec la clé publique PK2 de WN2 ;
message: nonce3, §PKBody2§PK2data, nonce4, PKI, SignSKi(nonce3, §pnBoay2§PK2data, nonce4), signsK(PKl ) 4. WN2 décrypte data et exécute WP sur data.
Aussi dans la même approche que celle décrite à la section « Réseau mixte SoCs WN et Enclaves WN », avantageusement, dans le cas où, suite à un message reçu, une enclave est apte à dynamiquement générer des clés dérivées « SKd,PKd » (privée/publique, la clé privée n'étant accessible que par l'enclave) à partir d'une clé secrète principale (seal key) et d'une adresse WN2 du wallet node destinataire du message [et optionnellement du haché #WP si l'on veut l'avantage de ne pas utiliser la clé secrète du WN) spécifié(s) dans le message, les données data (ou payload) du message, c'est-à-dire les données autres que l'adresse WN2 du nœud destinataire (et l'identification #WP du programme WP à exécuter) sont chiffrées au moyen de la clé dérivée secrète SKd et ne peuvent ainsi être décryptées que par une enclave spécialisée pour le wallet node WN2 donné (et le programme WP donné). En reprenant le schéma unifié, le chiffrement avec PK2 est ainsi remplacé par un chiffrement avec PKd2, sauf pour WN2 (et #WP) qui restent chiffrés avec PK2. message: noncel, [§PKd2data+#WP,] §PK2 WN2, nonce2, PKI, SignsKi(noncel, l§PKd2data+#WP,] §PK2WN2, nonce2), signSK(PKl)
(ou message: noncel, [§PKd2data,] §PK2WN2+#WP, nonce2, PKI, SignsKi(noncel, [§PKd2data,] §PK2WN2+#WP, nonce2), signSK(PKl))
A réception d'un message, le WN destinataire peut dans un premier temps au moins décrypter WN2 (ou WN2+#WP) avec sa clé privée SK2, en dériver une paire de clés SKd2,PKd2 si ce n'est pas déjà fait, et communiquer PKd2 à l'émetteur s'il ne l'a pas déjà. Dans le cas où le destinataire d'un tel message est un SoC WN, l'échange se fait en un seul message dans le cas où l'émetteur connaît PKd2, et avec une interaction supplémentaire pour communiquer PKd2 à l'émetteur sinon.
Comme déjà évoqué plus haut, dans le cas où le destinataire d'un tel message est une body enclave, le protocole (détaillé ci-dessous) prévoit l'envoi par WN2 à WN1 d'une attestation d'exécution et d'intégrité de WNRoT (c'est une condition automatiquement requise par WN1) avant que WN 1 ne transmette à WN2 le contenu data du message. L'approche est ainsi la suivante : lors de la réception d'un message (WM 1) comprenant WN2 [+#WP], l'enclave s'initialise pour WN2, retourne l'attestation pour WNRot et attend un message complémentaire (WM2) pour connaître data, et charge (via une table de hachage "Program Hash Table", PHT) un programme WP correspondant à #WP puis l'exécute dès que possible sur data.
L'invention tire parti du fait que les enclaves impliquent un protocole en deux temps (car WN1 doit vérifier WNRoT avant de communiquer le contenu data du message) et que les clés dérivées nécessitent aussi un protocole en deux temps, car le body enclave doit au préalable être reconfiguré en fonction d'un message entrant comprenant un WN2 [+#WP), et combine ces deux temps respectifs dans les quatre étapes suivantes :
1. WN1 transmet WN2+#WP à Body2 (dans un message WM1) message: noncel, §PKBody2WN2+#WP, nonce2, PK1, SignsKi(noncel, §PKBody2WN2+#WP, nonce2), signsK(PKl)
2. Body2 vérifie les signatures, décrypte §PKBody2WN2+#WP, retrouve PKd2 à partir de WN2, génère une attestation pour WNRoT, retourne à WNl l'attestation et la clé dérivée PKd2, initialise WN2 et charge WP :
message: nonce2, §PKiPKd2+att(WNRoT), nonce3, PKI, SignsKi(nonce2, §PKiPKd2+att(WNRoT), nonce3), signSK(PK2)
3. WNl vérifie les signatures et l'attestation reçue, puis envoie un message (WM2) à WN2 transmettant data :
message: nonce3, §PKd2data, nonce4, PKI, SignsKi(nonce3, §PKd2data, nonce4), signsK(PKl )
4. WN2 décrypte les données §PKd2d ta contenues dans WM2 avec SKd2 et exécute WP sur les données décryptées data.
Avantageusement et comme déjà dit plus haut, à l'étape 2, la paire de clés SKd2,PKd2 est (re)dérivée dynamiquement [dès la réception de WN2 [+#WP] depuis WNl à l'étape 1) et l'on peut alors éviter d'utiliser la clé SK principale de l'enclave.
Body SoC
A la différence des body enclaves, les body SoC sont dédiés (aux traitements des WN, avec tags et capteurs) : ils ne sont pas general-purpose.
La section « CMMU - Crypto Memory Management Unit » décrit le CMMU. Ici, à réception d'un message destiné à un WN donné (spécifié dans le message - cf. plus haut la description des messages transmettant §PKBody2WN2+#WP), le CMMU s'initialise par rapport aux NSV et Tags, propres aux WN destinataire, ainsi que par rapport aux PSV pour le #WP indiqué dans le message. La Figure 22 présente schématiquement les interactions entre les différentes parties (PROCESSOR, CMMU, MEMORY) du système :
1) Réception par CMMU d'un message contenant des données d'entrée d'un programme à exécuter ainsi que l'adresse du WN destinataire et le haché dudit programme ;
2) CMMU localise dans la table PHT, à partir dudit haché, ledit programme chiffré, le charge dans son cache et le décrypte (bloc par bloc) ; également, le CMMU s'initialise par rapport aux données susceptibles d'être accédées dans MEMORY (à savoir : NSV, Tags, PSV, etc.) ;
3) CMMU transmet à la volée le (un bloc à la fois du) programme décrypté à PROCESSOR pour exécution ;
4) Le cas échéant, PROCESSOR requiert d'accéder auxdites données déjà créées ou en crée/les met à jour et demande de les stocker, ou en supprime, et
5) CMMU accède et décrypte / chiffre et mémorise lesdites données ;
6) Le cas échéant, PROCESSOR prépare un message à émettre, et
7) CMMU y insère le haché dudit programme en exécution et sa signature au moyen la clé secrète et émet le message. En référence à la Figure 23, l'unité CMMU d'un body SoC est apte à recevoir des WM émis
• par exécution d'un programme WP, ou
• par l'utilisateur sur un terminal auquel le body SoC est couplé, ou encore par un autre dispositif [messages « Quasi-WM »],
messages qui dans les deux cas comprennent l'adresse du WN destinataire et le haché #WP du programme à exécuter dans le cadre de ce WN.
Lors de la réception d'un WM et pour chaque transaction de transfert de tags reçue [cf. plus bas la section « GuardWN, GuardTx et GuardedTx »), l'unité CMMU du body SoC est avantageusement apte à vérifier les intersections requises d'ensembles de nœuds miroirs décrits plus haut.
Enfin, en référence à la Figure 25, le CMMU gère les données provenant du ou des capteurs d'un SAM, ces données pouvant être partagées par différents WN et par différents WP d'un WN. La figure ci- dessous présente schématiquement un hard WN [Body Enclave ou SoC] et met en évidence le fait qu'il gère ses données de capteurs/actionneurs indépendamment, ces données étant partagées par les différents WN réels hébergés [et ces données étant transmises à ses miroirs].
Body SoC et Body enclaves miroirs
En ce qui concerne les contraintes sur les nœuds miroirs décrites notamment aux sections « WN Miroirs » et « Tags », les « hard WN » peuvent maintenant être constitués
• soit par des body SoC,
· soit par des body enclaves,
et, conformément à ce qui a été décrit plus haut, la sécurisation d'un réseau de nœuds aptes à exécuter des programmes WP en réponse à la réception de messages WM comprend, avantageusement, les deux architectures suivantes en combinaison :
- au niveau de chaque nœud body SoC ou enclave, les WP sont chiffrés et le nœud en question (respectivement son unité CMMU ou son programme racine WNRoT] accède à ces programmes chiffrés sur la base de hachés de ces programmes (#WP), contenus dans les messages entrants,
- au niveau de chaque nœud body SoC ou enclave, une architecture de détermination de nœuds contresignataires (body SoC ou enclave), de duplication des messages de/vers les nœuds contresignataires, et de détermination du caractère identique des messages reçus.
Plus précisément, en ce qui concerne la deuxième architecture, dans le réseau de nœuds body SoC et body enclaves, les nœuds étant susceptibles d'affecter les uns pour les autres des poids de connexion différents, au niveau de chaque nœud :
• est affecté au nœud en question, sur la base des valeurs de poids de connexion, au moins un nœud contresignataire ayant vis-à-vis de lui un poids de connexion supérieur à un seuil,
• est maintenue une liste de nœuds contresignataires de nœuds susceptibles de recevoir des messages à partir du nœud en question, chaque nœud et ses nœuds contresignataires formant un ensemble de nœuds miroirs et
lorsqu'un message doit être envoyé par un nœud émetteur à un nœud destinataire, ce message est envoyé (en redondance) par au moins certains des nœuds miroirs du nœud émetteur vers au moins certains des nœuds miroirs du nœud destinataire, et le nœud destinataire ne valide le message que seulement si :
• les ensembles respectifs de nœuds miroirs des nœuds émetteur et destinataire ont une intersection dont le nombre d'éléments est supérieur à un seuil donné et si
· le nœud destinataire a reçu ce même message (en redondance) de la part d'au moins une fraction donnée desdits nœuds miroirs appartenant à cette intersection.
En outre, lorsque le message en question comporte une transaction de transfert de tag (d'unités de valeur) le nœud destinataire ne valide le message que (comme décrit ci-après) seulement si les ensembles respectifs de nœuds miroirs d'au moins certains des guardWN des tags en questions et du nœud destinataire ont une intersection dont le nombre d'éléments (étant Body SoC ou enclave) est supérieur à un seuil donné.
On va maintenant décrire le procédé de sécurisation de nœuds body SoC et body enclave par des guardWN. GuardWN, GuardTx et GuardedTx
Cet aspect de l'invention vise à ce que, pour une transaction (transaction de transfert de tags tels que des BTC) transmise dans un message WM à un nœud WN destinataire, il suffise que certaines feuilles de l'arbre amont de cette transaction (uptree) aient un certain nombre de nœuds miroirs en commun avec ledit nœud WN destinataire pour que ce dernier accepte ce WM.
Définitions (certaines sont des rappels ou des compléments de définitions) :
Value tag (ou « tag ») : Donnée (telle qu'un certain montant de BTC) représentant un certain montant d'unités de compte d'un certain type. A un tag est associé un « uptree ». Transaction (ou « tx ») : Transfert de tags à partir d'au moins un WN amont vers au moins un WN aval (sauf pour les « génération tx » qui sont créées ex-nihilo et n'ont pas d'amont). Les tags en entrée proviennent de tx amonts (sauf pour les génération tx] et les tags en sortie sont destinés à des WN bénéficiaires (ou autres types de signataires), qui peuvent notamment être en multi-signatures (« n-of- m multisig »). Une tx a ainsi des tags associés respectivement à ses entrées (input) et à ses sorties (output), le total des montants des tags associés aux inputs étant égal au total des montants des tags associés aux outputs (sauf pour les génération tx). On considère ici que, comme dans Bitcoin, chaque input se réfère à un et un seul output d'une tx amont.
Génération tx : Tx n'ayant aucun input.
Uptree (ou « upstream tree », ou encore « provenance tree ») : Ensemble (structuré en arbre) composé d'une tx donnée considérée et des tx alimentant cette dernière ; arbre dont le nœud racine est ladite tx donnée considérée et dans lequel, pour chaque nœud de l'arbre, les tx amonts d'un nœud (c'est-à-dire les tx dont des outputs alimentent les inputs de ce nœud) sont ses nœuds enfants. Les feuilles (transactions les plus amont) d'un uptree sont appelés « guardTx ».
Dtree (ou « downstream tree », ou encore « distribution tree ») : Ensemble (structuré en arbre) composé d'une tx donnée considérée et des tx alimentées par cette dernière ; arbre dont le nœud racine est ladite tx donnée considérée et dans lequel, pour chaque nœud de l'arbre, les tx avals d'un nœud (c'est-à-dire les tx dont des inputs sont alimentés par les outputs de ce nœud) sont ses nœuds enfants.
GuardTx (ou « tx entrante ») : Tx alimentée par une tx considérée (par son bénéficiaire et par les bénéficiaires à l'aval) comme étant insérée/confirmée dans une blockchain ou générée ex-nihilo (génération tx). Le WN générant une guardTx est appelé « guardWN ». Le dtree d'un guardTx est composé de tx appelées « guardedTx ».
GuardWN : WN ayant généré un guardTx considéré (dont chaque tx du dtree, y compris la guardTx elle-même, l'ont comme signataire associé à tous les outputs - d'où le nom de « guardedTx » qui leur sont donné). On dit que le guardWN « garde » un guardTx et les guardedTx de la dtree de cette guardTx.
Tx gardée par un guardWN donné : Tx dont ledit guardWN donné est un signataire sur tous les outputs. GuardedTx : Tx dont :
· au moins l'un des signataires (sur un input) est un guardWN ;
• à chacun des outputs (il peut y avoir un ou plusieurs outputs) est associé :
o soit seul ledit guardWN,
o soit un multisig dont l'un des signataires est ledit guardWN,
• ledit guardWN garantissant que les tx à l'aval (qui sont alimentées par ces outputs) sont elles aussi des guardedTx gardées par ledit guardWN.
On comprend que ce modèle implique que si un guardWN est de confiance, toutes les tx de sa dtree sont de confiance.
On propose ainsi que le WN destinataire d'un WM transmettant une tx donnée ne l'accepte directement qu'à la condition qu'il ait des nœuds miroirs (body SoC ou enclaves) en commun avec les guardWN gardant cette tx. Dans le cas contraire le WN destinataire a l'option de provoquer l'insertion des tx de la uptree dans la blockchain (après leurs remplacements pour simplification et ajouts de transaction fees, comme décrit plus haut) ou d'utiliser un canal de paiement (sur un protocole tel que Lightning Network).
La Figure 26 illustre un exemple simplifié avec un arbre uptree de cinq transactions txl à tx5, et l'existence d'un miroir (WNx) en commun entre un GuardWN - WN2 - ayant généré la transaction tx2 et le WN - WN5 - générant la transaction la plus en aval tx5. Dans cet exemple, WN5 peut accepter tx4 dans la mesure où il a un certain nombre (selon des paramètres de configuration) de miroirs WNx (Body SoC ou enclave) en commun avec les GuardWN WN1, WN2 et WN3 (ou avec seulement certains d'entre eux, dans la mesure des ajouts de signataires collatéraux effectués, voir la description ci- après).
La Figure 27 montre des transactions txl, tx2, tx3 et tx4 qui sont respectivement générés par des WN « 1 », « 2 », « 3 » et « 4 ». Ici txl et tx2 sont des guardWN. Les chiffres sur leurs outputs représentent les WN dont les signatures respectives sont requises sur les inputs que ces outputs alimentent. Ainsi, le premier output de Txl requiert une signature du WN 3 ainsi que la signature du guardWN 1, et ainsi de suite.
Ici, tx3 et tx4, en tant que guardedTx, doivent reproduire sur leurs outputs respectifs le fait de requérir les signatures 1 et 2 sur les inputs des transactions subséquentes qu'elles alimentent. C'est ainsi que les signatures requises de guardWN se propagent de proche en proche vers l'aval - par exemple, tx3 exige que tx4 soit signée par les guardWN 1 et 2, et ces derniers (ainsi que leurs miroirs « hard WN », en redondance pour plus de fiabilité) ne vont signer tx4 que si cette exigence est repropagée vers les transactions subséquentes, et ainsi de suite de proche en proche. Toute la dtree à partir de chaque guardWN est ainsi sécurisé.
Procédé d'ajout des signataires collatéraux
Selon le procédé de cet aspect de l'invention, lors de la génération d'une guardedTx dont des inputs sont alimentés par des tx amonts gardées par des guardWN différents, tous les outputs de cette guardedTx sont générés comme étant des multisigs dont les signataires incluent ces guardWN différents (WN colatéraux).
Dans ce cas de figure, il est avantageux de combiner des branches de la uptree pour offrir aux WN à l'aval des options en « OU » plutôt que des conditions en « ET » de guardWN (avec lesquels il est nécessaire d'avoir des nœuds miroirs en commun).
Définition de « guardWN collatéraux » : ce sont des nœuds étant des guardWN signataires respectifs requis par des outputs de transactions alimentant en commun une même transaction aval.
Il est ainsi avantageux d'ajouter aux signataires requis les guardWN collatéraux. Plus précisément : Lors de la génération d'un guardedTx dont des inputs sont alimentés par des tx amonts gardées par des guardWN différents (collatéraux), lesdites tx sont remplacées par des tx gardées (sur tous leurs outputs) par l'ensemble de ces guardWN différents (en les complétant de part et d'autre), et ce procédé se poursuit de proche en proche vers l'amont, jusqu'aux feuilles de la uptree (les guardTx).
En référence à la figure précédente, les guardWN 1 et 2 sont (par définition) collatéraux du fait qu'ils alimentent une même transaction (tx3).
La Figure 28 montre le résultat de l'application du procédé (d'ajout des signataires collatéraux en remplaçant les transactions amont en question) pour l'exemple de la figure précédente. On voit que la signature du guardWN 2 (en gras) est maintenant également requise sur l'input alimenté par txl et la signature du GuardWN 1 est maintenant également requise sur l'input alimenté par tx2.
Comme le remplacement en question revient à ajouter lesdites requêtes de signatures de guardWN collatéraux sur tous les outputs des transactions en question (txl et tx2), le deuxième output de txl requiert maintenant la signature du guardWN 2 également, et dans la mesure où maintenant 1 et 2 conjointement contrôlent la dtree de txl, les WN à l'aval n'auront pas à avoir des miroirs communs avec 1 et avec 2, mais avec 1 ou avec 2. (Evidemment, ce procédé ne peut être appliqué un trop grand nombre de fois, mais sert à réduire le nombre de guardWN qui doivent être en miroir.)
Plafonds variables de canaux de paiement
On connaît les canaux de paiement « multi-hop Layer 2 Network (on Bitcoin, Ethereum, etc.) » dont le plus abouti est aujourd'hui Lightning Network [https://lightning.network/lightning-network- paper.pdf] mis en œuvre au moyen d'usage d'opérateurs multisig, « CheckLockTimeVerif », « CheckSequenceVerify » et d'un procédé très ingénieux d'échange de secrets pour de facto invalider une version précédente d'un ensemble de transactions. Comme déjà décrit à la section « Transactions Bitcoin off-chain » de telles transactions off-chain peuvent être générées par WN, avec l'avantage qu'elles ne seront pas dévoilées (blindness), l'ensemble du procédé présentant une confiance accrue, la blockchain servant de dernier recours en cas de tampering de WN.
La Figure 29 présente schématiquement des nœuds s'échangeant des unités de comptes par des transactions sans broadcast obligatoire via des canaux de paiement entre nœuds, chaque nœud disposant d'un canal (Ch(i,j)) avec un autre nœud possédant un plafond (C(i,j)) d'unités de compte transférables par ce canal sans nécessiter de broadcast. Un transfert d'unités de compte entre deux nœuds peut être effectué via une chaîne de nœuds ayant deux à deux un canal de paiement. Les nœuds possèdent des poids de connexion (W(i,j)) vis-à-vis d'autres nœuds, représentatifs d'un degré de confiance ou de proximité entre les nœuds ou des utilisateurs associés aux nœuds. Les plafonds d'unités de compte d'un nœud donné sur un canal donné (dépôts effectués lors de l'établissement du canal) sont ici ajustés (augmentés) en fonction d'un poids de connexion dudit nœud vis-à-vis du nœud avec lequel il possède ledit canal donné. Le poids d'un nœud vis-à-vis d'un autre nœud est typiquement déterminé en fonction de l'existence de connexions réelles (IRL Connections) ou quasi- réelles dans l'entourage de ce dernier.
Bien entendu la présente invention n'est pas limitée aux formes réalisations et aspects sus-décrits. En outre il saura à l'aide de ses connaissances générales combiner toutes formes de réalisations et autres aspects susceptibles de donner lieu à des avantages particuliers.

Claims

REVENDICATIONS
1. Procédé pour l'exécution sécurisée de programmes (smart contract) mis en œuvre entre un premier WN (WNl) et un second WN (WN2), au moins le second WN étant mis en œuvre dans une enclave d'un processeur, et les WN étant aptes à exécuter des programmes désignés dans des messages qui leur parviennent, le procédé comprenant les étapes suivantes :
a] envoi par WNl à WN2 d'un pré-message,
bl) en réponse à ce pré-message, exécution dans l'enclave d'un premier programme (WNRoT], b2) génération par l'enclave d'une attestation de l'authenticité dudit premier programme et de l'intégrité de son exécution,
b3) envoi de ladite attestation à WNl,
c) vérification par WNl de ladite attestation,
d) en cas de vérification réussie, envoi par WNl à WN2 d'un message destiné à provoquer l'exécution d'un programme donné dans WN2, et
e] exécution dudit programme dans WN2.
2. Procédé selon la revendication 1, dans lequel l'étape b2) comprend également la génération d'un nonce, l'étape b3) comprend également l'envoi dudit nonce à WNl, et le procédé comprend en outre avant l'étape d) une étape mise en œuvre au niveau de WNl de chiffrement du message à envoyer avec le nonce, et avant l'étape e), une étape mise en œuvre au niveau de WN2 de décryptage dudit message chiffré.
3. Procédé selon la revendication 1 ou 2, dans lequel la désignation d'un programme à exécuter dans un WN s'effectue par un haché du contenu dudit programme.
4. Procédé selon l'une des revendications 1 à 3, dans lequel ledit pré-message contient une désignation dudit programme donné, en vue du pré-chargement dudit programme par WN2 dans une mémoire de travail.
5. Procédé selon l'une des revendications 1 à 4, dans lequel WNl est également une enclave d'un processeur, et dans lequel à chaque réception d'un pré-message ou d'un message par WN2 en provenance de WNl, WN2 vérifie la présence dans ce pré-message ou message d'une attestation de l'authenticité et de l'intégrité d'exécution d'un programme exécuté dans WNl et ayant provoqué l'envoi de ce pré-message ou message.
6. Procédé selon l'une des revendications 1 à 5, lequel comprend également :
- entre les étapes a) et c], une étape de génération par WN2 d'une paire de clés publique/privée dérivées à partir d'une clé secrète de WN2 et de la désignation dudit programme donné,
- avant l'étape d), une étape d'envoi de la clé dérivée publique à WNl,
- avant l'étape d), une étape de chiffrement d'une partie data dudit message avec ladite clé dérivée publique dans WNl, et
- après l'étape d], une étape de décryptage dans WN2 de ladite partie data avec la clé privée dérivée.
7. Procédé selon la revendication 6 prise dans la dépendance de la revendication 4, dans lequel ladite paire de clés dérivées est générée également à partir d'information de désignation contenue dans le pré-message.
8. Procédé selon la revendication 7, dans lequel l'étape d'envoi de la clé dérivée publique à WNl est mise en œuvre lors de l'étape b3).
9. Procédé pour l'exécution sécurisée de programmes transactionnels mis en œuvre entre un premier WN (WNl] et un second WN (WN2], WNl et WN2 étant chacun soit une enclave d'un processeur, soit un SoC dédié, dans lequel les WN sont aptes à communiquer par messages transactionnels contenant une désignation du programme à exécuter dans le WN destinataire, et une paire de WN s'échangeant des messages transactionnels en exécutant tous deux un même programme dans des conditions sécurisées.
10. Procédé pour sécuriser le fonctionnement d'un réseau de nœuds (WN) aptes à exécuter des programmes (WP] en réponse à la réception de messages (WM), les nœuds étant mis en œuvre par une enclave d'un processeur ou par un SoC et les nœuds étant susceptibles d'être liés entre eux sur la base des valeurs de poids de connexion, comprenant les étapes suivantes :
- affecter à chaque nœud au moins un nœud contresignataire ayant vis-à-vis de lui un poids de connexion,
- au niveau de chaque nœud, maintenir une liste de nœuds contresignataires de nœuds susceptibles de recevoir des messages à partir du nœud en question, chaque nœud et ses nœuds contresignataires formant un ensemble de nœuds miroirs,
- valider ou autoriser un message entre un nœud émetteur et un nœud récepteur en fonction de contraintes de cohérence au niveau des nœuds miroirs auxquels appartiennent le nœud émetteur et/ou le nœud récepteur.
Sujet Lightning Network avec poids
11. Système transactionnel à architecture répartie en peer-to-peer, mettant en œuvre des transactions de transfert d'unités de compte entre nœuds émetteurs d'unités et nœuds receveurs d'unités, chaque transaction ayant en entrée un input se référant à un output d'une transaction précédente (ou plusieurs inputs se référant chacun à un output d'une transaction précédente) et ayant elle-même au moins un nouvel output spécifiant un nombre d'unités de compte et un nœud receveur, chaque transaction pouvant être validée en réponse à un broadcast, par insertion, dans une chaîne de blocs mémorisée de façon répartie entre au moins certains nœuds, d'au moins une signature de la transaction, au moins certains nœuds étant également aptes à s'échanger des unités de comptes par des transactions sans broadcast obligatoire via des canaux de paiement entre nœuds, chaque nœud disposant d'un canal (Ch(i,j)) avec un autre nœud possédant un plafond (C(i,j)) d'unités de compte transférables par ce canal sans nécessiter de broadcast, et un transfert d'unités de compte entre deux nœuds étant susceptible d'être effectué via une chaîne de nœuds ayant deux à deux un canal de paiement, caractérisé en ce que les nœuds possèdent des poids de connexion (W(i,j)) vis-à-vis d'autres nœuds, représentatifs d'un degré de confiance ou de proximité entre les nœuds ou des utilisateurs associés aux nœuds, et en ce qu'il comprend des moyens d'ajustement du plafond d'unités de compte d'un nœud donné sur un canal donné en fonction d'un poids de connexion dudit nœud vis-à-vis du nœud avec lequel il possède ledit canal donné.
12. Système selon la revendication 11, dans lequel l'ajustement comprend une augmentation du plafond en relation avec le poids.
13. Système selon la revendication 11 ou 12, dans lequel le poids d'un nœud vis-à-vis d'un autre est déterminé en fonction de l'existence de connexions réelles (IRL Connections) ou quasi-réelles dans les entourages des deux nœuds. Poids de fabricant
14. Système transactionnel à architecture répartie en peer-to-peer, pour exécuter des transactions sécurisées mettant en jeu des nœuds hardware (SoC ; enclave) susceptibles d'être fabriqués par des fabricants de façon décentralisée, chaque nœud ayant vis-à-vis d'un autre nœud un degré de confiance ou de proximité matérialisé notamment par un poids de connexion ou par un nombre de nœuds miroirs en commun entre les deux nœuds,
caractérisé en ce qu'il comprend des moyens pour affecter à chaque fabricant un poids de fabricant, et pour ajuster le degré de confiance d'un nœud hardware vis-à-vis d'un autre nœud (pas nécessairement hardware] en fonction du poids de fabricant du fabricant de ce nœud hardware.
15. Système selon la revendication 14, caractérisé en ce que le poids de fabricant est lié au nombre de nœuds hardware fabriqués par le fabricant en question.
16. Système selon la revendication 14, caractérisé en ce que le poids de fabricant est lié au nombre de nœuds hardware actifs dans le système et fabriqués par le fabricant en question.
17. Système selon la revendication 16, caractérisé en ce qu'il comprend des moyens pour déterminer l'activité d'un nœud hardware en fonction de l'existence de transactions mettant en jeu ledit nœud.
18. Système selon la revendication 16, caractérisé en ce qu'il comprend des moyens pour déterminer l'activité d'un nœud hardware en fonction de l'existence d'interactions avec d'autres nœuds et de valeurs de poids de connexion des nœuds intervenant dans ces interactions.
Body SoC et Body Enclave
19. Processeur sécurisé (SoC ; enclave), caractérisé en ce qu'il est apte à héberger une pluralité de nœuds WN d'un réseau, et en ce qu'il comprend une unité de gestion cryptographique de mémoire avec chiffrement (CMMU) apte à assurer une exécution sécurisée de programmes, dans lequel :
• dans l'unité CMMU est mémorisée (ou dynamiquement régénérée) de façon inaccessible autrement que par l'unité CMMU une clé secrète de chiffrement de programmes,
• l'unité CMMU est apte à mémoriser au moins un programme à exécuter après chiffrement par l'unité CMMU à l'aide de ladite clé secrète et à générer un haché du ou de chaque programme permettant de retrouver le programme chiffré,
• ledit processeur n'est apte à exécuter des programmes que sur commande de l'unité CMMU,
• les interactions entre nœuds du réseau s'effectuent exclusivement par messages et les messages sont reçus/émis par l'unité CMMU exclusivement,
• les messages comprennent l'identification d'un WN destinataire hébergé dans le processeur et l'identification d'un certain programme à exécuter par le WN destinataire, identifié par son haché,
• en réponse à la réception d'un message :
le processeur s'initialise en tant que WN destinataire et l'unité CMMU (i) accède au programme chiffré à exécuter par ce WN à partir du haché du programme reçu dans le message (notamment via une table PHT), (ii) déchiffre les instructions du programme, et (iii) transmet au processeur pour exécuter les instructions déchiffrées sur lesdites données reçues,
le processeur mémorisant pour chaque WN hébergé une paire de clés destinées à la signature de contenus de messages générés par ledit WN à l'aide de la clé privée de ladite paire.
20. Processeur selon la revendication 19, dans lequel au moins un WN hébergé constitue un WN contresignataire d'un autre WN au sein d'un groupe de WN miroirs, la paire de clés de ce WN contresignataire étant identique aux paires de clés des autres WN dudit groupe.
21. Processeur selon l'une des revendications 19 et 20, caractérisé en ce qu'il est apte à mémoriser des variables de processeur, des variables de WN et des variables de WP de façon séparée les unes des autres.
22. Processeur selon l'une des revendications 19 à 21, caractérisé en ce qu'il est associé à un module SAM, et en ce que les variables de processeur comprennent des données d'actionnement ou de capteur associées audit module, accessibles par au moins deux WN.
Guard WN 23. Système transactionnel à architecture répartie en peer-to-peer, mettant en œuvre des transactions avec sécurité cryptographique de transfert d'unités de compte entre nœuds émetteurs d'unités et nœuds receveurs d'unités, chaque transaction ayant en entrée un input se référant à un output d'une transaction précédente (ou plusieurs inputs se référant chacun à un output d'une transaction précédente) et ayant elle-même au moins un nouvel output spécifiant un nombre d'unités de compte et un nœud receveur, chaque transaction pouvant être validée en réponse à un broadcast par insertion, dans une chaîne de blocs mémorisée de façon répartie entre au moins certains nœuds, d'au moins une signature de la transaction, au moins certains nœuds étant également aptes à s'échanger des unités de comptes par des transactions sans broadcast obligatoire, à chaque nœud pouvant être associée une information de degré de confiance ou proximité vis-à-vis d'un autre nœud, le système comprenant des moyens aptes, au sein d'une chaîne arborescente (uptree] de transactions n'ayant pas fait l'objet d'un broadcast, à déterminer si l'information de degré de confiance ou de proximité d'au moins un nœud, parmi les nœuds (GuardWN) ayant généré les transactions les plus amont dans ladite chaîne, vis-à-vis du nœud ayant reçu la transaction la plus aval dans la chaîne, satisfait un critère déterminé et, dans l'affirmative, accepter ladite transaction la plus aval.
24. Système selon la revendication 23, dans lequel l'information de degré de confiance ou de proximité comprend un nombre de nœuds miroirs en commun entre au moins un nœud, parmi les nœuds ayant généré les transactions les plus amont dans ladite chaîne, et le nœud ayant reçu la transaction la plus aval dans la chaîne.
25. Système selon la revendication 23 ou 24, dans lequel chaque nœud est prévu pour signer une transaction en tant que GuardWN seulement si les outputs de ladite transaction requièrent sa signature dans les transactions que ladite transaction alimentera, de telle sorte qu'un nœud GuardWN ayant généré une transaction la plus amont contrôle les transactions (évite le double spend) qui seront alimentées par la transaction la plus aval.
26. Système selon la revendication 23 ou 24, dans lequel chaque nœud est prévu pour signer une transaction en tant que GuardWN seulement si les outputs de ladite transaction requièrent sa signature dans les transactions que ladite transaction alimentera, de telle sorte qu'un nœud GuardWN ayant généré une transaction la plus amont contrôle (évite le double spend sur) toute la chaîne arborescente (dtree) des transactions aval à partir d'elle-même.
27. Système selon la revendication 25 ou 26, dans lequel la requête de signature par un nœud GuardWN est étendue à chaque nœud collatéral d'un autre nœud (ces deux nœuds étant des GuardWN signataires respectifs requis sur les outputs de deux transactions alimentant en commun une même transaction aval] dont la signature est requise.
28. Système-sur-Puce (WN) susceptible de recevoir des messages [WM] pour exécuter des programmes (WP] dans des conditions d'exécution sécurisées, dans lequel est mémorisée une clé secrète (SK) constituant la clé privée d'une paire de clés publique/privée, comprenant
- des moyens capables, lors de la réception d'un message (WM1) à partir d'un autre système- sur-puce, de dériver une paire de clés (SKd, PKd) dites clés dérivées à partir de ladite clé secrète SK et d'une information (WN, #WP] contenue dans le message reçu, et d'envoyer la clé publique dérivée (PKd) vers ledit autre système-sur-puce, et
- des moyens capables, lors de la réception d'un message depuis ledit autre système-sur-puce, de décrypter une partie dudit message (WM2) avec ladite clé privée dérivée SKd.
29. Procédé exécuté dans une unité sécurisée (enclave] d'un processeur, comprenant, lors de la réception d'un message (WM1) provenant soit d'un système-sur-puce (Soc ; WN], soit d'une unité sécurisée d'un autre processeur (autre enclave), les étapes suivantes :
- dériver une paire de clés dérivées (SKd.PKd) à partir de la clé secrète SK de l'enclave et d'une information (#WP) contenue dans ledit message,
- envoyer la clé publique dérivée (PKd) audit WN ou autre enclave,
- attendre la réception depuis ledit WN ou autre enclave d'un message complémentaire
(WM2), et
- lors de la réception dudit message complémentaire (WM2), décrypter une autre partie dudit message (WM2) avec la clé privée dérivée SKd.
30. Procédé selon la revendication 29, dans lequel l'étape d'envoi comprend également l'envoi d'une attestation d'authenticité et d'intégrité d'exécution du programme (WNRoT) couramment exécuté.
31. Procédé selon l'une des revendications 29 et 30, comprenant une étape additionnelle précédant l'étape d'envoi et consistant à générer une clé aléatoire, l'étape d'envoi comprenant l'envoi de cette clé aléatoire vers ledit WN ou autre enclave, et dans lequel l'étape de décryptage utilise ladite clé aléatoire.
32. Procédé exécuté dans une unité sécurisée (enclave) d'un processeur, comprenant, lors de la réception d'un message (WM1) provenant soit d'un système-sur-puce (Soc ; WN), soit d'une unité sécurisée d'un autre processeur (autre enclave), les étapes d'exécution suivantes mises en œuvre sans quitter l'enclave :
- générer une clé aléatoire,
- envoyer ladite clé aléatoire audit WN ou autre enclave, et
- attendre la réception depuis ledit WN ou autre enclave d'un message complémentaire
(WM2), et
- lors de la réception dudit message complémentaire (WM2), décrypter une autre partie dudit message (WM2) avec ladite clé aléatoire.
33. Procédé selon l'une des revendications 29 à 32, comprenant, à la suite de la réception du message complémentaire (WM2), une étape de chargement et d'exécution d'un programme (WP) correspondant à ladite information (#WP) contenue dans le message et prenant comme entrée ladite autre partie décryptée.
34. Procédé selon la revendication 33, comprenant en outre, lors de l'exécution du programme [WP], la génération d'un message à destination d'un WN ou autre enclave, comprenant ladite information (#WP) ainsi qu'une attestation de l'exécution dudit programme (WP) correspondant à ladite information (#WP).
35. Processeur comprenant une unité sécurisée (enclave), ladite enclave comprenant :
- une clé secrète (SK),
- des moyens pour générer une clé secrète (SKd) dérivée d'une combinaison de ladite clé secrète et d'une autre information,
- des moyens pour charger via une table de correspondance (PHT) un programme correspondant à une information donnée et pour exécuter ledit programme,
caractérisé en ce que ladite enclave comprend en outre des moyens aptes :
- lors de la réception d'un message (WM) dont une partie est chiffrée et ne peut être décryptée qu'au moyen d'une telle clé dérivée (SKd),
- à activer lesdits moyens pour générer cette clé dérivée (SKd) sur la base d'une dite autre information (#WP) contenue dans le message reçu,
- à charger un programme (WP) correspondant à ladite autre information (#WP) et à exécuter ledit programme sur des données d'entrée comprenant le message reçu (WM), dont ladite partie chiffrée a été décryptée au moyen de la clé secrète dérivée (SKd).
36. Processeur comprenant une unité sécurisée (enclave), ladite enclave comprenant :
- une clé secrète (SK) ;
- des moyens pour charger via une table de correspondance (PHT) un programme correspondant à une information donnée et pour exécuter ledit programme,
caractérisé en ce que ladite enclave comprend des moyens aptes, lors de la réception à partir d'un WN ou d'une autre enclave d'un message (WM1) comprenant une information donnée (#WP), à charger un premier programme (WNRoT) et à l'exécuter de manière sécurisée, cette exécution comprenant les étapes suivantes :
a) envoi à ce WN ou autre enclave d'une requête comprenant:
· une attestation signée par l'enclave avec sa clé secrète (SK) et attestant l'exécution en cours de ce premier programme (WNRoT),
• une clé aléatoire,
b) chargement via une table de correspondance (PHT) d'un programme (WP) correspondant à ladite information (#WP), et attente de la réponse (WM2) à la requête envoyée à l'étape a),
c) à réception de cette réponse (WM2), celle-ci comprenant au moins une partie (payload) chiffrée au moyen de ladite clé aléatoire, décrypter ladite partie chiffrée (payload), et
d) provoquer l'exécution du programme (WP) sur des données d'entrée comprenant la réponse reçue (WM2), après décryptage.
37. Processeur selon la revendication 36, dans lequel la requête envoyée à l'étape a) comprend en outre un identifiant dudit message reçu (WM1).
38. Processeur selon l'une des revendications 36 et 37, dans lequel la requête envoyée à l'étape a) est chiffrée avec la clé publique (PKI) du WN ou autre enclave.
39. Processeur selon l'une des revendications 36 à 38, dans lequel l'exécution du programme (WP) comprend la génération d'un message à destination d'un WN ou autre enclave comprenant ladite information (#WP) ainsi qu'une attestation de l'exécution dudit programme (WP) correspondant à ladite information (#WP).
40. Processeur selon l'une quelconque des revendications 36 à 39, dans lequel le message [WM1] reçu à partir d'un WN ou d'une autre enclave comprend en outre une attestation de l'exécution par ce WN ou autre enclave dudit programme (WP) correspondant à ladite information (#WP).
41. Processeur selon l'une des revendications 36 à 40, dans lequel le message (WM 1) reçu à partir du WN ou autre enclave est reçu à l'état chiffré avec la clé publique (PK) de l'enclave du processeur et est décrypté avec sa clé secrète (SK).
42. Processeur selon l'une des revendications 36 à 41, dans lequel l'enclave comprend en outre des moyens capables, lors de la réception de la part d'une autre enclave d'une requête comprenant une attestation attestant l'exécution en cours dudit premier programme (WNRoT) et d'une clé aléatoire, de générer et retourner un message (WM2) comprenant au moins une partie chiffrée (payload) au moyen de ladite clé aléatoire.
43. Processeur comprenant une unité sécurisée (enclave), ladite enclave comprenant :
- la clé secrète (SK) d'une paire de clés privée/publique principale (SK.PK) et
- des moyens pour générer une paire de clés privée/publique dérivées (SKd.PKd) à partir d'une combinaison de la clé secrète principale (SK) et d'une information (#WP), et
- des moyens pour charger, via une table de correspondance (PHT), un programme (WP) correspondant à une information donnée et pour l'exécuter,
caractérisé en ce que ladite enclave comprend des moyens aptes, lors de la réception à partir d'un WN ou d'une autre enclave d'un message (WM1) comprenant une information donnée (#WP), à charger un premier programme (WNRoT) et l'exécuter de manière sécurisée, cette exécution comprenant les étapes suivantes :
a) utilisation (générer ou retrouver en mémoire) d'une paire de clés dérivées (SKd,PKd) à partir de la clé secrète principale (SK) et ladite information donnée reçue (#WP);
b) envoi à ce WN ou autre enclave d'une requête comprenant :
• une attestation signée par l'enclave avec sa clé secrète (SK) et attestant l'exécution en cours de ce premier programme (WNRoT),
• la clé publique (PKd) de la paire de clés dérivées,
c) charger via une table de correspondance (PHT) un programme (WP) correspondant à ladite information (#WP) et attendre la réponse (WM2) à la requête envoyée à l'étape b), et
d) lors de la réception de cette réponse (WM2), celle-ci comprenant au moins une partie (payload) chiffrée au moyen de la clé publique dérivée (PKd), décrypter cette partie chiffrée (payload) avec la clé secrète dérivée (SKd), et provoquer l'exécution du programme (WP) sur des données d'entrée comprenant la réponse reçue après décryptage.
44. Processeur selon la revendication 43, dans lequel la requête envoyée à l'étape b) comprend en outre un identifiant dudit message reçu (WM1).
45. Processeur comprenant une unité sécurisée (enclave), ladite enclave comprenant :
- la clé secrète (SK) d'une paire de clés privée/publique principale (SK.PK) et
- des moyens pour générer une clé aléatoire,
- des moyens pour charger, via une table de correspondance (PHT), un programme (WP) correspondant à une information donnée et pour l'exécuter,
caractérisé en ce que ladite enclave comprend des moyens aptes, lors de la réception à partir d'un WN ou d'une autre enclave d'un message (WM1) comprenant une information donnée (#WP), à charger un premier programme (WNRoT) et l'exécuter de manière sécurisée, cette exécution comprenant les étapes suivantes :
a] envoi à ce WN ou autre enclave d'une requête comprenant :
• une attestation signée par l'enclave avec sa clé secrète (SK) et attestant l'exécution en cours de ce premier programme (WNRoT),
• la clé aléatoire,
b] charger via une table de correspondance (PHT) un programme (WP) correspondant à ladite information (#WP) et attendre la réponse (WM2) à la requête envoyée à l'étape a), et
c] lors de la réception de cette réponse (WM2), celle-ci comprenant au moins une partie (payload) chiffrée au moyen de la clé aléatoire, décrypter cette partie chiffrée (payload) avec la clé aléatoire et provoquer l'exécution du programme (WP) sur des données d'entrée comprenant la réponse reçue après décryptage.
46. Processeur selon l'une des revendications 43 à 45, dans lequel la requête envoyée à l'étape d'envoi est chiffrée avec la clé publique (PKI) du WN ou autre enclave.
47. Processeur selon l'une des revendications 43 à 46, dans lequel le message (WM1) reçu à partir du WN ou autre enclave comprend en outre la clé publique (PKld) d'une paire de clés privée/publique dérivées (SKld.PKld) à partir de la même information donnée (#WP), et la requête envoyée à l'étape d'envoi au WN ou à l'autre enclave est chiffrée avec ladite clé publique dérivée (PKld) du WN ou autre enclave.
48. Processeur selon l'une des revendications 43 à 47, dans lequel l'exécution du programme (WP) comprend en outre la génération d'un message à destination d'un WN ou autre enclave comprenant ladite information (#WP) ainsi qu'une attestation de l'exécution dudit programme (WP) correspondant à ladite information (#WP).
49. Processeur selon l'une des revendications 43 à 48, dans lequel le message (WM1) reçu à partir du WN ou autre enclave comprend en outre une attestation de l'exécution par ledit WN ou autre enclave dudit programme (WP) correspondant à ladite information (#WP).
50. Processeur selon l'une des revendications 43 à 49, dans lequel le message (WM1) reçu à partir du WN ou autre enclave est reçu à l'état chiffré avec la clé publique (PK) de l'enclave et est décrypté avec sa clé secrète (SK).
51. Processeur selon l'une des revendications 43 à 50, dans lequel l'enclave comprend en outre des moyens aptes, lors de la réception de la part d'une autre enclave d'une requête comprenant une attestation (WNRoTAtt) attestant l'exécution en cours dudit premier programme (WNRoT) et ladite clé publique (PKd) de la paire de clés dérivée, à générer et retourner un message (WM2) comprenant au moins une partie chiffrée (payload) au moyen de ladite clé publique (PKd).
52. Processeur selon l'une des revendications 43 à 51, dans lequel ladite requête reçue comprend en outre une clé aléatoire, et les moyens de chiffrement pour retourner un message (WM2) comprennent cette clé.
53. Système-sur-puce (SoC) sécurisé dans lequel est mémorisé de façon inaccessible autrement que par le SoC une clé privée de SoC, ou le SoC est apte à dynamiquement régénérer cette clé privée, le Soc étant apte à communiquer avec un autre équipement par des messages et étant apte à exécuter des Smart Contracts (WP) en réponse à la réception de messages, et à mémoriser au moins un Smart Contract à exécuter dans des conditions de traitement sécurisé, le SoC comprenant en outre des moyens de communication entre le système et un module externe comprenant au moins un capteur et/ou un actionneur, ces moyens comprenant au moins côté système une unité de gestion (CMU) de la communication, et des moyens de sécurisation de ladite communication aptes à empêcher au moins le remplacement d'un module par un autre module, l'exécution d'au moins un Smart contract étant apte à recevoir en entrée à partir de ladite unité de gestion une donnée de capteur en provenance dudit module et/ ou à émettre en sortie une donnée d'actionnement vers ledit module.
54. Système-sur-Puce selon la revendication 53, comprenant des moyens pour signer à l'aide de ladite clé privée une donnée de capteur reçue du module dans le cadre de l'exécution d'un Smart
Contract, et à transmettre ladite donnée signée vers une autre équipement sécurisé constituant une partie au Smart Contract.
55. Système-sur-Puce selon la revendication 53 ou 54, comprenant des moyens recevoir une instruction d'actionnement signée à partir d'un autre équipement sécurisé constituant une partie à un
Smart Contract, pour vérifier ladite signature et pour appliquer ladite instruction audit module.
56. Système selon l'une des revendications 53 à 55, dans lequel les moyens de sécurisation comprennent un moyen d'apprentissage d'au moins une propriété permanente de la liaison entre le SoC et le module.
57. Système selon la revendication 56, dans lequel le moyen d'apprentissage est apte à mémoriser ladite propriété à ladite connexion, et les moyens de sécurisation sont aptes à comparer périodiquement la propriété courante avec la propriété mémorisée.
58. Système selon la revendication 56 ou 57, dans lequel la liaison est filaire, et ladite propriété est une propriété d'impédance.
59. Système selon la revendication 56 ou 57, dans lequel la liaison est sans fil, et ladite propriété comprend au moins une caractéristique du domaine temporel et/ou fréquentiel de ladite liaison.
60. Système selon la revendication 59, dans lequel ladite propriété comprend une combinaison de caractéristiques du domaine temporel et/ou fréquentiel de ladite liaison.
61. Système selon l'une des revendications 59 et 60, dans lequel le module comprend une partie formant tag RFID.
62. Système selon l'une des revendications 59 à 61, dans lequel le module comprend un tag de communication sans fil standard fixé de façon inviolable à un capteur et/ou actionneur du commerce.
63. Système selon la revendication 62, dans lequel le tag est une étiquette RFID.
64. Système selon l'une des revendications 53 à 63, dans lequel les moyens de sécurisation comprennent des moyens d'appariement logique entre le système et le module.
65. Système selon la revendication 64, dans lequel les moyens de sécurisation comprennent des moyens de vérification de la persistance de l'appariement.
66. Système selon la revendication 64 et 65, dans lequel les moyens de vérification de la persistance de l'appariement et/ou les moyens de communication comprennent l'envoi d'un nonce vers le module et l'analyse d'une réponse du module prenant an compte ledit nonce.
67. Système selon l'une des revendications 53 à 66, lequel comprend une mémoire spécifique pour des données de capteur et/ou d'actionneur en provenance/à destination dudit module et une unité de gestion de ladite mémoire apte lire et/ou écrire des données dans ladite mémoire lors de l'exécution d'un Smart Contract parmi les Smart Contracts autorisés à accéder à ces données.
68. Système selon la revendication 67, dans lequel ladite unité de gestion de mémoire fait partie d'une unité de gestion de mémoire générale (CM MU) comprenant en outre une unité de gestion de l'accès à une mémoire de Smart Contracts (WP) et une mémoire de données (PSV) respectivement associées aux différents Smart Contracts.
69. Système selon la revendication 68, dans lequel ladite unité de gestion de mémoire générale comprend également une unité de gestion d'une mémoire pour des unités de compte (Tags) reçues par des transactions incluses dans des messages (WM), apte lire et/ou écrire des données dans ladite mémoire d'unités de compte lors de l'exécution d'un Smart Contract parmi les Smart Contracts autorisés à accéder à ces unités de compte.
70. Système selon l'une des revendications 68 et 69, dans lequel l'unité de gestion de mémoire générale (CM MU) est apte à charger un Smart Contract (WP) pour exécution à partir d'une désignation de Smart Contract (#WP) contenue dans un message (WM) arrivant dans le système.
71. Système selon l'une des revendications 53 à 70, dans lequel des données de capteur et/ou d'actionneur en provenance/à destination dudit module sont transmises à la volée entre un moyen d'exécution d'un Smart Contract et l'unité de gestion de la communication.
PCT/IB2018/050247 2017-01-16 2018-01-16 Procédés et systèmes pour l'exécution de programmes dans des environnements sécurisés WO2018131004A2 (fr)

Priority Applications (4)

Application Number Priority Date Filing Date Title
US16/477,631 US11587070B2 (en) 2017-01-16 2018-01-16 Methods and systems for executing smart contracts in secure environments
EP18705491.1A EP3568794B1 (fr) 2017-01-16 2018-01-16 Procédés et systèmes pour l'exécution de contrats intelligents dans des environnements sécurisés
CN201880016861.5A CN110392888A (zh) 2017-01-16 2018-01-16 用于在安全环境中执行智能合约的方法和系统
US18/170,986 US20230206220A1 (en) 2017-01-16 2023-02-17 Methods and systems for executing smart contracts in secure environments

Applications Claiming Priority (6)

Application Number Priority Date Filing Date Title
PCT/IB2017/050228 WO2017122187A2 (fr) 2016-01-15 2017-01-16 Procédés et systèmes mis en œuvre dans une architecture en réseau de nœuds susceptibles de réaliser des transactions basées sur messages
IBPCT/IB2017/050228 2017-01-16
US201762454370P 2017-02-03 2017-02-03
US62/454,370 2017-02-03
US201762462390P 2017-02-23 2017-02-23
US62/462,390 2017-02-23

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
PCT/IB2017/050228 Continuation WO2017122187A2 (fr) 2015-01-30 2017-01-16 Procédés et systèmes mis en œuvre dans une architecture en réseau de nœuds susceptibles de réaliser des transactions basées sur messages

Related Child Applications (2)

Application Number Title Priority Date Filing Date
US16/477,631 A-371-Of-International US11587070B2 (en) 2017-01-16 2018-01-16 Methods and systems for executing smart contracts in secure environments
US18/170,986 Continuation US20230206220A1 (en) 2017-01-16 2023-02-17 Methods and systems for executing smart contracts in secure environments

Publications (3)

Publication Number Publication Date
WO2018131004A2 true WO2018131004A2 (fr) 2018-07-19
WO2018131004A3 WO2018131004A3 (fr) 2018-10-04
WO2018131004A9 WO2018131004A9 (fr) 2018-12-06

Family

ID=62840132

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/IB2018/050247 WO2018131004A2 (fr) 2017-01-16 2018-01-16 Procédés et systèmes pour l'exécution de programmes dans des environnements sécurisés

Country Status (4)

Country Link
US (2) US11587070B2 (fr)
EP (1) EP3568794B1 (fr)
CN (1) CN110392888A (fr)
WO (1) WO2018131004A2 (fr)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20200090207A1 (en) * 2018-09-14 2020-03-19 Hewlett Packard Enterprise Development Lp Rewards for custom data transmissions
CN111898156A (zh) * 2019-01-31 2020-11-06 创新先进技术有限公司 区块链中实现合约调用的方法及节点、存储介质
WO2021005591A1 (fr) * 2019-07-11 2021-01-14 Cyber Armor Ltd. Système et procédé de vérification d'intégrité d'exécution
US10958438B2 (en) 2018-10-31 2021-03-23 Advanced New Technologies Co., Ltd. Method, apparatus, and electronic device for blockchain-based recordkeeping
CN112805694A (zh) * 2018-08-30 2021-05-14 神经技术有限公司 用于改进的实施区块链的智能合约的系统和方法
EP3863218A4 (fr) * 2018-10-05 2022-06-29 Sakura Information Systems Co., Ltd. Dispositif de traitement d'informations, procédé et programme

Families Citing this family (32)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10826681B1 (en) * 2017-03-24 2020-11-03 Open Invention Network Llc Blockchain node initialization
US11233644B2 (en) * 2017-08-09 2022-01-25 Gridplus Inc. System for secure storage of cryptographic keys
US11256712B2 (en) * 2018-02-05 2022-02-22 Accenture Global Solutions Limited Rapid design, development, and reuse of blockchain environment and smart contracts
EP3531362A1 (fr) * 2018-02-22 2019-08-28 Banco Bilbao Vizcaya Argentaria, S.A. Procédé de validation d'un bon d'échange
WO2019185710A1 (fr) * 2018-03-29 2019-10-03 NEC Laboratories Europe GmbH Procédé et système de préservation de la confidentialité pour l'utilisation de clients légers de chaîne de blocs
CN108647968A (zh) * 2018-05-10 2018-10-12 阿里巴巴集团控股有限公司 一种区块链数据处理方法、装置、处理设备及系统
US20190370791A1 (en) * 2018-05-30 2019-12-05 International Business Machines Corporation Distributing cryptographic asset returns
WO2020010515A1 (fr) * 2018-07-10 2020-01-16 Apple Inc. Protection et vérification d'intégrité de messages sur la base de l'identité pour des communications sans fil
GB201811263D0 (en) * 2018-07-10 2018-08-29 Netmaster Solutions Ltd A method and system for managing digital using a blockchain
US11489816B2 (en) * 2018-07-31 2022-11-01 Ezblock Ltd. Blockchain joining for a limited processing capability device and device access security
US20200193420A1 (en) * 2018-09-04 2020-06-18 Bit Key, Inc. Data management systems and methods
CN109598504B (zh) * 2018-10-25 2020-09-01 阿里巴巴集团控股有限公司 基于区块链的交易处理方法及装置、电子设备
CN109544129B (zh) 2018-10-26 2021-04-27 创新先进技术有限公司 区块链交易方法及装置、电子设备
JP7209518B2 (ja) * 2018-12-03 2023-01-20 富士通株式会社 通信装置、通信方法、および通信プログラム
WO2020246956A1 (fr) * 2019-06-03 2020-12-10 Hewlett-Packard Development Company, L.P. Authentification de clé
US11423499B2 (en) * 2019-06-20 2022-08-23 Bank Of America Corporation Logistics sensors for smart contract arbitration
JP7372527B2 (ja) * 2019-09-26 2023-11-01 富士通株式会社 通信中継プログラム、中継装置、及び通信中継方法
CN111080298B (zh) * 2019-12-26 2023-12-29 电子科技大学 一种适用于能源区块链的区块生成与交易验证方法
CN111163093A (zh) * 2019-12-30 2020-05-15 杭州趣链科技有限公司 联盟区块链中从外部数据源获取外部数据的方法和装置
JP7384044B2 (ja) * 2020-01-16 2023-11-21 富士通株式会社 検証方法、検証装置及び検証プログラム
CN111541552B (zh) 2020-07-08 2021-06-22 支付宝(杭州)信息技术有限公司 区块链一体机及其节点自动加入方法、装置
CN111541724B (zh) * 2020-07-08 2021-06-29 支付宝(杭州)信息技术有限公司 区块链一体机及其节点自动加入方法、装置
US11429750B2 (en) * 2020-08-10 2022-08-30 Sap Se Executing encrypted data using secure enclave
CN112883436A (zh) * 2021-02-08 2021-06-01 北京微芯区块链与边缘计算研究院 智能合约专用芯片装置及执行方法、区块链节点装置
CN113268749B (zh) * 2021-05-21 2023-05-23 中国联合网络通信集团有限公司 投标信息的处理方法及模块、电子设备
CN113268777B (zh) * 2021-05-21 2023-05-12 中国联合网络通信集团有限公司 基于区块链的投标信息的处理方法及模块、电子设备
CN113378240B (zh) * 2021-06-23 2023-03-28 浪潮云信息技术股份公司 一种基于区块链的同步调用用户身份认证方法
CN113570369A (zh) * 2021-07-29 2021-10-29 成都质数斯达克科技有限公司 一种区块链隐私交易方法、装置、设备及可读存储介质
CN113762963A (zh) * 2021-08-27 2021-12-07 中国银联股份有限公司 一种交易处理方法、装置、设备及存储介质
CN113781245B (zh) * 2021-09-10 2023-10-13 杭州宇链科技有限公司 赋能安全生产保险的隐私计算系统及方法
US20230103796A1 (en) * 2021-10-04 2023-04-06 Paypal, Inc. Event-based triggers of cryptocurrency transactions
CN115168872B (zh) * 2022-09-07 2023-01-10 南方科技大学 基于去中心化信任的公有云下tee状态连续性保护方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR3018377A1 (fr) 2014-03-07 2015-09-11 Enrico Maim Systeme et procede transactionnels a architecture repartie fondes sur des transactions de transfert d'unites de compte entre adresses
WO2016120826A2 (fr) 2015-01-30 2016-08-04 Enrico Maim Systèmes et procédés pour la gestion d'engagements en réseau d'entités sécurisées

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8229859B2 (en) * 2007-04-19 2012-07-24 Gideon Samid Bit currency: transactional trust tools
US8122500B2 (en) * 2006-06-23 2012-02-21 International Business Machines Corporation Tracking the security enforcement in a grid system
US10102510B2 (en) * 2012-11-28 2018-10-16 Hoverkey Ltd. Method and system of conducting a cryptocurrency payment via a mobile device using a contactless token to store and protect a user's secret key
US9367701B2 (en) * 2013-03-08 2016-06-14 Robert Bosch Gmbh Systems and methods for maintaining integrity and secrecy in untrusted computing platforms
US9918226B2 (en) * 2013-12-30 2018-03-13 Apple Inc. Spoofing protection for secure-element identifiers
US9584517B1 (en) * 2014-09-03 2017-02-28 Amazon Technologies, Inc. Transforms within secure execution environments
US20160092988A1 (en) * 2014-09-30 2016-03-31 Raistone, Inc. Systems and methods for transferring digital assests using a de-centralized exchange
FR3035248A1 (fr) * 2015-04-15 2016-10-21 Enrico Maim Systeme-sur-puce a fonctionnement securise et ses utilisations
RU2673842C1 (ru) * 2015-03-20 2018-11-30 Ривец Корп. Автоматическая аттестация сохранности устройства с применением цепочки блоков
CN105893042A (zh) * 2016-03-31 2016-08-24 北京航空航天大学 一种基于区块链的智能合约的实现方法
US11829998B2 (en) * 2016-06-07 2023-11-28 Cornell University Authenticated data feed for blockchains
EP3497581A4 (fr) * 2016-08-08 2020-03-11 The Dun and Bradstreet Corporation Plateforme de confiance et applications bop intégrées permettant la mise en réseau de composantes bop
US10528721B2 (en) * 2016-10-20 2020-01-07 Intel Corporation Trusted packet processing for multi-domain separatization and security
US20190095879A1 (en) * 2017-09-26 2019-03-28 Cornell University Blockchain payment channels with trusted execution environments

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR3018377A1 (fr) 2014-03-07 2015-09-11 Enrico Maim Systeme et procede transactionnels a architecture repartie fondes sur des transactions de transfert d'unites de compte entre adresses
WO2016120826A2 (fr) 2015-01-30 2016-08-04 Enrico Maim Systèmes et procédés pour la gestion d'engagements en réseau d'entités sécurisées

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
P. S. RAVIKANTH: "Physical one-way functions", PHD THESIS, 2001
PAPPU: "Physical one-way functions", SCIENCE, vol. 297, no. 5589, 2002, pages 2026 - 2030, XP055003556, DOI: doi:10.1126/science.1074376

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112805694A (zh) * 2018-08-30 2021-05-14 神经技术有限公司 用于改进的实施区块链的智能合约的系统和方法
US20200090207A1 (en) * 2018-09-14 2020-03-19 Hewlett Packard Enterprise Development Lp Rewards for custom data transmissions
US11864072B2 (en) * 2018-09-14 2024-01-02 Hewlett Packard Enterprise Development Lp Rewards for custom data transmissions
EP3863218A4 (fr) * 2018-10-05 2022-06-29 Sakura Information Systems Co., Ltd. Dispositif de traitement d'informations, procédé et programme
US10958438B2 (en) 2018-10-31 2021-03-23 Advanced New Technologies Co., Ltd. Method, apparatus, and electronic device for blockchain-based recordkeeping
US11258612B2 (en) 2018-10-31 2022-02-22 Advanced New Technologies Co., Ltd. Method, apparatus, and electronic device for blockchain-based recordkeeping
CN111898156A (zh) * 2019-01-31 2020-11-06 创新先进技术有限公司 区块链中实现合约调用的方法及节点、存储介质
CN111898156B (zh) * 2019-01-31 2024-04-16 创新先进技术有限公司 区块链中实现合约调用的方法及节点、存储介质
WO2021005591A1 (fr) * 2019-07-11 2021-01-14 Cyber Armor Ltd. Système et procédé de vérification d'intégrité d'exécution
US11139983B2 (en) 2019-07-11 2021-10-05 Cyber Armor Ltd. System and method of verifying runtime integrity

Also Published As

Publication number Publication date
WO2018131004A3 (fr) 2018-10-04
EP3568794B1 (fr) 2024-03-13
CN110392888A (zh) 2019-10-29
US20230206220A1 (en) 2023-06-29
US11587070B2 (en) 2023-02-21
WO2018131004A9 (fr) 2018-12-06
US20200387893A1 (en) 2020-12-10
EP3568794A2 (fr) 2019-11-20

Similar Documents

Publication Publication Date Title
EP3568794B1 (fr) Procédés et systèmes pour l'exécution de contrats intelligents dans des environnements sécurisés
EP3403213A2 (fr) Procédés et systèmes mis en oeuvre dans une architecture en réseau de noeuds susceptibles de réaliser des transactions basées sur messages
KR102213414B1 (ko) 일반 계정 모델 및 동형 암호화 기반의 블록 체인 데이터 보호
JP6808057B2 (ja) 汎用アカウントモデルおよび準同型暗号化に基づいたブロックチェーンデータ保護
CN110419055B (zh) 基于利用零知识证明的账户票据模型的区块链数据保护
AU2022226929B2 (en) Advanced non-fungible token blockchain architecture
EP3547203A1 (fr) Méthode et système de gestion d'accès à des données personnelles au moyen d'un contrat intelligent
Vokerla et al. An overview of blockchain applications and attacks
WO2016120826A2 (fr) Systèmes et procédés pour la gestion d'engagements en réseau d'entités sécurisées
EP1442557A2 (fr) Systeme et procede pour creer un reseau securise en utilisant des justificatifs d'identite de lots de dispositifs
FR3075534A1 (fr) Dispositif de stockage de cles numeriques pour signer des transactions sur une chaine de blocs
EP3398104A1 (fr) Deuxieme authentification dynamique d'une signature electronique utilisant un module materiel securise
CN117616410A (zh) 计算机分片环境中的多方计算
FR3049089A1 (fr) Procede permettant de gerer les validations des messages relatifs a une chaine de messages de facon unitaire a travers un reseau de validation decentralise
KR20200051135A (ko) 암호화폐 지갑서버를 통해 DApp 서비스에 로그인하는 방법 및 이를 위한 암호화폐 지갑서버
FR3035248A1 (fr) Systeme-sur-puce a fonctionnement securise et ses utilisations
WO2017162930A2 (fr) Dispositif d'authentification biométrique adaptatif par échographie, photographies en lumière visible de contraste et infrarouge, sans divulgation, à travers un réseau informatique décentralisé
EP3803745B1 (fr) Système transactionnel sécurisé dans une architecture p2p
Singh Blockchain Technologies
US20230360024A1 (en) Hot wallet protection using a layer-2 blockchain network
George et al. A survey on user privacy preserving blockchain for health insurance using Ethereum smart contract
Khacef Trade-off betweew security and scalability in blockchain systems
Slayton Democratizing Cryptography: The Work of Whitfield Diffie and Martin Hellman
BAKSHI Research on Blockchain Technology and its associated Cybersecurity Issues
Agarwal Decentralizing Aadhaar Authentication using a Blockchain

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 18705491

Country of ref document: EP

Kind code of ref document: A2

NENP Non-entry into the national phase

Ref country code: DE

WWE Wipo information: entry into national phase

Ref document number: 2018705491

Country of ref document: EP